Nomad
NomadҚаз. 12, 2020, 1:54 Т.Қ.

Как использовать свой алгоритм хэширования пароля в Django?

bcrypt, django

всем привет

у меня вопрос по поводу метода хранения пароля в джанго.
по умолчанию джанго ставит алгоритм pbkdf2_sha256
в документации написанно что есть еше 2 алгоритма, меня интересует bcrypt
НО когда меняешь на bcrypt то джанго ставит work factor = 12
моя задача поменять на work factor = 15

в django.contrib.auth есть hashers.py а в нем class BCryptSHA256PasswordHasher(BasePasswordHasher):

в данном классе прописан фактор: rounds = 12

знает кто как переопределить данное значение???

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Ол саған ұнайды ма? Әлеуметтік желілерде бөлісіңіз!

5
Илья Чичак
  • Қаз. 12, 2020, 2:45 Т.Қ.
  • Жауап шешім ретінде белгіленді.

1) а чем не устроил стандартный алгоритм? (мне реально просто интересно=))
2) наследуешься от этого класса, переопределяешь классовую переменную на 15 и указываешь свой класс в качестве хешера

# utils/hashers.py

class MyBCryptSHA256PasswordHasher(MyBCryptSHA256PasswordHasher):
    rounds = 15


# settings.py

PASSWORD_HASHERS = [
    'utils.hashers.MyBCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.Argon2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
]

    Илья Чичак
    • Қаз. 12, 2020, 2:48 Т.Қ.

    ну и снова просьба - переименуй тему, пжлста, чтобы это был вопрос. Возможно, "Как использовать свой алгоритм хэширования пароля в Django?" или "Как сделать хеширование пароля в Django со своими параметрами?"
    Я прошу об этом, чтобы следующий человек, кто столкнется с такой проблемой, быстрее нашел решение

      Nomad
      • Қаз. 12, 2020, 4:18 Т.Қ.

      спасибо за решение.

        Nomad
        • Қаз. 13, 2020, 9:56 Т.Ж.
        • (өңделген)

        привет

        если честно это просто мой интерес, а появился вопрос после того как я где то в нете прочитал что во первых bcrypt это надежнее а если фактор 15 ТО у брудфорсеров нету никакого шанса

        да и по сути не важно, я просто задался вопросом )
        и спасибо вам за ответ

          Илья Чичак
          • Қаз. 13, 2020, 11:15 Т.Ж.
          • (өңделген)

          кстати, про брутфорс:
          никакой из алгоритмов не спасет от него
          пароли в Django шифруются не для того, чтобы их нельзя было подобрать, а для того, чтобы злоумышленник не смог ничего сделать с базой данных, если вдруг она оказалась у него в руках
          все пароли - хэшированны односторонней функцией сколько-то там тысяч раз с использованием соли
          провернуть фарш назад - шансов нет никаких

          при авторизации, когда пользователь ввел пароль, присходит следующее:
          1) ищется пользователь по email (если не нашелся - отбой)
          2) берется хэш пароля этого пользователя и из него берется алгоритм, соль, количество преобразований
          3) введеный пароль хэшируется тем же алгоритмом, с той же солью, столько же раз
          4) хэши сравниваются (не совпали - отбой)

          самый важный момент в плане безопасности django:
          если пользователь не нашелся - всеравно будет взят хэш от введеного пароля, чтобы нельзя было по времени ответа подобрать login-ы, которые уже есть (хэширование 30 000 раз - не самая быстрая операция, которая еще и выполняется на процессоре)
          без этого, если login уже есть, сервер отвечал бы на сколько-то миллисекунд дольше
          а уже к выявленным логинам можно применить брутфорс, от которого шифрованием защититься нельзя
          брутфорс подбор пароля можно предотвратить, сделав что-то типа 3 попытки логина и если все попытки не удачные, постепенно увеличивать задержку во времени между попытками

          про второй шаг:
          исключительно для обратной совместимости, поскольку раз во сколько то версий разработчики Django могут увеличить количество итераций или ввести и сделать по-умолчанию новый алгоритм, и чтобы твои уже существующие пароли не превратились в тыкву - типа старые пароли проверяются старым алгоритмом, новые - новым, и никто ничего не заметил

          вообще, пытаться подобрать оригинальное значение для хэш функции, произведенной сколько то раз - практически безсмыссленная затея. Проще реально подобрать пароль

          главное, в продакшене не менять SECRET_KEY - он тоже используется в хэшировании паролей + генерация кук (и если куки - не так страшны, то отвалившиеся пароли - штука печальная)

            Пікірлер

            Тек рұқсаты бар пайдаланушылар ғана пікір қалдыра алады.
            Кіріңіз немесе Тіркеліңіз
            OI
            • Ora Iro
            • Жел. 24, 2024, 3:38 Т.Ж.

            C++ - Тест 001. Первая программа и типы данных

            • Нәтиже:40ұпай,
            • Бағалау ұпайлары-8
            AD

            C++ - Тест 004. Указатели, Массивы и Циклы

            • Нәтиже:50ұпай,
            • Бағалау ұпайлары-4
            m
            • molni99
            • Қаз. 25, 2024, 10:37 Т.Қ.

            C++ - Тест 004. Указатели, Массивы и Циклы

            • Нәтиже:80ұпай,
            • Бағалау ұпайлары4
            Соңғы пікірлер
            ИМ
            Игорь МаксимовҚар. 22, 2024, 8:51 Т.Ж.
            Django - Оқулық 017. Теңшелген Django кіру беті Добрый вечер Евгений! Я сделал себе авторизацию аналогичную вашей, все работает, кроме возврата к предидущей странице. Редеректит всегда на главную, хотя в логах сервера вижу запросы на правильн…
            Evgenii Legotckoi
            Evgenii LegotckoiҚаз. 31, 2024, 11:37 Т.Ж.
            Django - Сабақ 064. Python Markdown кеңейтімін қалай жазуға болады Добрый день. Да, можно. Либо через такие же плагины, либо с постобработкой через python библиотеку Beautiful Soup
            A
            ALO1ZEҚаз. 19, 2024, 5:19 Т.Ж.
            Qt Creator көмегімен fb3 файл оқу құралы Подскажите как это запустить? Я не шарю в программировании и кодинге. Скачал и установаил Qt, но куча ошибок выдается и не запустить. А очень надо fb3 переконвертировать в html
            ИМ
            Игорь МаксимовҚаз. 5, 2024, 4:51 Т.Ж.
            Django - Сабақ 064. Python Markdown кеңейтімін қалай жазуға болады Приветствую Евгений! У меня вопрос. Можно ли вставлять свои классы в разметку редактора markdown? Допустим имея стандартную разметку: <ul> <li></li> <li></l…
            d
            dblas5Шілде 5, 2024, 8:02 Т.Ж.
            QML - Сабақ 016. SQLite деректер қоры және онымен QML Qt-та жұмыс істеу Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
            Енді форумда талқылаңыз
            Evgenii Legotckoi
            Evgenii LegotckoiМаусым 24, 2024, 12:11 Т.Қ.
            добавить qlineseries в функции Я тут. Работы оень много. Отправил его в бан.
            t
            tonypeachey1Қар. 15, 2024, 3:04 Т.Ж.
            google domain [url=https://google.com/]domain[/url] domain [http://www.example.com link title]
            NSProject
            NSProjectМаусым 4, 2022, 12:49 Т.Ж.
            Всё ещё разбираюсь с кешем. В следствии прочтения данной статьи. Я принял для себя решение сделать кеширование свойств менеджера модели LikeDislike. И так как установка evileg_core для меня не была возможна, ибо он писался…
            9
            9AnonimҚаз. 25, 2024, 6:10 Т.Ж.
            Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…

            Бізді әлеуметтік желілерде бақылаңыз