Nomad12 октября 2020 г. 13:54
Как использовать свой алгоритм хэширования пароля в Django?
всем привет
у меня вопрос по поводу метода хранения пароля в джанго.
по умолчанию джанго ставит алгоритм pbkdf2_sha256
в документации написанно что есть еше 2 алгоритма, меня интересует bcrypt
НО когда меняешь на bcrypt то джанго ставит work factor = 12
моя задача поменять на work factor = 15
в django.contrib.auth есть hashers.py а в нем class BCryptSHA256PasswordHasher(BasePasswordHasher):
в данном классе прописан фактор: rounds = 12
знает кто как переопределить данное значение???
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.Вам это нравится? Поделитесь в социальных сетях!
Комментарии
Только авторизованные пользователи могут публиковать комментарии.
Пожалуйста, авторизуйтесь или зарегистрируйтесь
Пожалуйста, авторизуйтесь или зарегистрируйтесь
B
- Bogdannn
- 28 марта 2024 г. 5:15
C++ - Тест 001. Первая программа и типы данных
- Результат:46баллов,
- Очки рейтинга-6
Последние комментарии
Qt Linux - Урок 001. Автозапуск Qt приложения под Linux как сделать автозапуск для флэтпака, который не даёт создавать файлы в ~/.config - вот это вопрос ))
АК
Qt WinAPI - Урок 007. Работаем с ICMP Ping в Qt Без строки #include <QRegularExpressionValidator> в заголовочном файле не работает валидатор.
Анатолий Кононенко5 февраля 2024 г. 12:50
EVA25 декабря 2023 г. 21:30
Boost - статическая линковка в CMake проекте под Windows Сделал всё по-как у вас, но выдаёт ошибку [build] LINK : fatal error LNK1104: не удается открыть файл "libboost_locale-vc142-mt-gd-x64-1_74.lib" Хоть убей, не могу понять в чём дел…
Qt/C++ - Урок 056. Подключение библиотеки Boost в Qt для компиляторов MinGW и MSVC Для решения твой проблемы добавь в файл .pro строчку "LIBS += -lws2_32" она решит проблему , лично мне помогло.
Сейчас обсуждают на форуме
Как получить в массив значения из связанной модели? Спасибо, разобрался:))
AC
QML Обнулить значения SpinBox Доброго времени суток, не могу разобраться с обнулением значение SpinBox находящего в делегате. import QtQuickimport QtQuick.ControlsWindow { width: 640 height: 480 visible: tr…
Alexandru Codreanu19 января 2024 г. 22:57
BlinCT27 декабря 2023 г. 19:57
Дмитрий10 января 2024 г. 15:18
Evgenii Legotckoi12 декабря 2023 г. 17:48
1) а чем не устроил стандартный алгоритм? (мне реально просто интересно=))
2) наследуешься от этого класса, переопределяешь классовую переменную на 15 и указываешь свой класс в качестве хешера
ну и снова просьба - переименуй тему, пжлста, чтобы это был вопрос. Возможно, "Как использовать свой алгоритм хэширования пароля в Django?" или "Как сделать хеширование пароля в Django со своими параметрами?"
Я прошу об этом, чтобы следующий человек, кто столкнется с такой проблемой, быстрее нашел решение
спасибо за решение.
привет
если честно это просто мой интерес, а появился вопрос после того как я где то в нете прочитал что во первых bcrypt это надежнее а если фактор 15 ТО у брудфорсеров нету никакого шанса
да и по сути не важно, я просто задался вопросом )
и спасибо вам за ответ
кстати, про брутфорс:
никакой из алгоритмов не спасет от него
пароли в Django шифруются не для того, чтобы их нельзя было подобрать, а для того, чтобы злоумышленник не смог ничего сделать с базой данных, если вдруг она оказалась у него в руках
все пароли - хэшированны односторонней функцией сколько-то там тысяч раз с использованием соли
провернуть фарш назад - шансов нет никаких
при авторизации, когда пользователь ввел пароль, присходит следующее:
1) ищется пользователь по email (если не нашелся - отбой)
2) берется хэш пароля этого пользователя и из него берется алгоритм, соль, количество преобразований
3) введеный пароль хэшируется тем же алгоритмом, с той же солью, столько же раз
4) хэши сравниваются (не совпали - отбой)
самый важный момент в плане безопасности django:
если пользователь не нашелся - всеравно будет взят хэш от введеного пароля, чтобы нельзя было по времени ответа подобрать login-ы, которые уже есть (хэширование 30 000 раз - не самая быстрая операция, которая еще и выполняется на процессоре)
без этого, если login уже есть, сервер отвечал бы на сколько-то миллисекунд дольше
а уже к выявленным логинам можно применить брутфорс, от которого шифрованием защититься нельзя
брутфорс подбор пароля можно предотвратить, сделав что-то типа 3 попытки логина и если все попытки не удачные, постепенно увеличивать задержку во времени между попытками
про второй шаг:
исключительно для обратной совместимости, поскольку раз во сколько то версий разработчики Django могут увеличить количество итераций или ввести и сделать по-умолчанию новый алгоритм, и чтобы твои уже существующие пароли не превратились в тыкву - типа старые пароли проверяются старым алгоритмом, новые - новым, и никто ничего не заметил
вообще, пытаться подобрать оригинальное значение для хэш функции, произведенной сколько то раз - практически безсмыссленная затея. Проще реально подобрать пароль
главное, в продакшене не менять SECRET_KEY - он тоже используется в хэшировании паролей + генерация кук (и если куки - не так страшны, то отвалившиеся пароли - штука печальная)