Nomad
Nomad12 октября 2020 г. 13:54

Как использовать свой алгоритм хэширования пароля в Django?

bcrypt, django

всем привет

у меня вопрос по поводу метода хранения пароля в джанго.
по умолчанию джанго ставит алгоритм pbkdf2_sha256
в документации написанно что есть еше 2 алгоритма, меня интересует bcrypt
НО когда меняешь на bcrypt то джанго ставит work factor = 12
моя задача поменять на work factor = 15

в django.contrib.auth есть hashers.py а в нем class BCryptSHA256PasswordHasher(BasePasswordHasher):

в данном классе прописан фактор: rounds = 12

знает кто как переопределить данное значение???

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

5
Илья Чичак
  • 12 октября 2020 г. 14:45
  • Ответ был помечен как решение.

1) а чем не устроил стандартный алгоритм? (мне реально просто интересно=))
2) наследуешься от этого класса, переопределяешь классовую переменную на 15 и указываешь свой класс в качестве хешера

# utils/hashers.py

class MyBCryptSHA256PasswordHasher(MyBCryptSHA256PasswordHasher):
    rounds = 15


# settings.py

PASSWORD_HASHERS = [
    'utils.hashers.MyBCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.Argon2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
]

    Илья Чичак
    • 12 октября 2020 г. 14:48

    ну и снова просьба - переименуй тему, пжлста, чтобы это был вопрос. Возможно, "Как использовать свой алгоритм хэширования пароля в Django?" или "Как сделать хеширование пароля в Django со своими параметрами?"
    Я прошу об этом, чтобы следующий человек, кто столкнется с такой проблемой, быстрее нашел решение

      Nomad
      • 12 октября 2020 г. 16:18

      спасибо за решение.

        Nomad
        • 13 октября 2020 г. 9:56
        • (ред.)

        привет

        если честно это просто мой интерес, а появился вопрос после того как я где то в нете прочитал что во первых bcrypt это надежнее а если фактор 15 ТО у брудфорсеров нету никакого шанса

        да и по сути не важно, я просто задался вопросом )
        и спасибо вам за ответ

          Илья Чичак
          • 13 октября 2020 г. 11:15
          • (ред.)

          кстати, про брутфорс:
          никакой из алгоритмов не спасет от него
          пароли в Django шифруются не для того, чтобы их нельзя было подобрать, а для того, чтобы злоумышленник не смог ничего сделать с базой данных, если вдруг она оказалась у него в руках
          все пароли - хэшированны односторонней функцией сколько-то там тысяч раз с использованием соли
          провернуть фарш назад - шансов нет никаких

          при авторизации, когда пользователь ввел пароль, присходит следующее:
          1) ищется пользователь по email (если не нашелся - отбой)
          2) берется хэш пароля этого пользователя и из него берется алгоритм, соль, количество преобразований
          3) введеный пароль хэшируется тем же алгоритмом, с той же солью, столько же раз
          4) хэши сравниваются (не совпали - отбой)

          самый важный момент в плане безопасности django:
          если пользователь не нашелся - всеравно будет взят хэш от введеного пароля, чтобы нельзя было по времени ответа подобрать login-ы, которые уже есть (хэширование 30 000 раз - не самая быстрая операция, которая еще и выполняется на процессоре)
          без этого, если login уже есть, сервер отвечал бы на сколько-то миллисекунд дольше
          а уже к выявленным логинам можно применить брутфорс, от которого шифрованием защититься нельзя
          брутфорс подбор пароля можно предотвратить, сделав что-то типа 3 попытки логина и если все попытки не удачные, постепенно увеличивать задержку во времени между попытками

          про второй шаг:
          исключительно для обратной совместимости, поскольку раз во сколько то версий разработчики Django могут увеличить количество итераций или ввести и сделать по-умолчанию новый алгоритм, и чтобы твои уже существующие пароли не превратились в тыкву - типа старые пароли проверяются старым алгоритмом, новые - новым, и никто ничего не заметил

          вообще, пытаться подобрать оригинальное значение для хэш функции, произведенной сколько то раз - практически безсмыссленная затея. Проще реально подобрать пароль

          главное, в продакшене не менять SECRET_KEY - он тоже используется в хэшировании паролей + генерация кук (и если куки - не так страшны, то отвалившиеся пароли - штука печальная)

            Комментарии

            Только авторизованные пользователи могут публиковать комментарии.
            Пожалуйста, авторизуйтесь или зарегистрируйтесь
            B

            C++ - Тест 002. Константы

            • Результат:16баллов,
            • Очки рейтинга-10
            B

            C++ - Тест 001. Первая программа и типы данных

            • Результат:46баллов,
            • Очки рейтинга-6
            FL

            C++ - Тест 006. Перечисления

            • Результат:80баллов,
            • Очки рейтинга4
            Последние комментарии
            k
            kmssr9 февраля 2024 г. 5:43
            Qt Linux - Урок 001. Автозапуск Qt приложения под Linux как сделать автозапуск для флэтпака, который не даёт создавать файлы в ~/.config - вот это вопрос ))
            АК
            Анатолий Кононенко5 февраля 2024 г. 12:50
            Qt WinAPI - Урок 007. Работаем с ICMP Ping в Qt Без строки #include <QRegularExpressionValidator> в заголовочном файле не работает валидатор.
            EVA
            EVA25 декабря 2023 г. 21:30
            Boost - статическая линковка в CMake проекте под Windows Ошибка LNK1104 часто возникает, когда компоновщик не может найти или открыть файл библиотеки. В вашем случае, это файл libboost_locale-vc142-mt-gd-x64-1_74.lib из библиотеки Boost для C+…
            J
            JonnyJo25 декабря 2023 г. 19:38
            Boost - статическая линковка в CMake проекте под Windows Сделал всё по-как у вас, но выдаёт ошибку [build] LINK : fatal error LNK1104: не удается открыть файл "libboost_locale-vc142-mt-gd-x64-1_74.lib" Хоть убей, не могу понять в чём дел…
            G
            Gvozdik19 декабря 2023 г. 8:01
            Qt/C++ - Урок 056. Подключение библиотеки Boost в Qt для компиляторов MinGW и MSVC Для решения твой проблемы добавь в файл .pro строчку "LIBS += -lws2_32" она решит проблему , лично мне помогло.
            Сейчас обсуждают на форуме
            P
            Pisych27 февраля 2023 г. 15:04
            Как получить в массив значения из связанной модели? Спасибо, разобрался:))
            AC
            Alexandru Codreanu19 января 2024 г. 22:57
            QML Обнулить значения SpinBox Доброго времени суток, не могу разобраться с обнулением значение SpinBox находящего в делегате. import QtQuickimport QtQuick.ControlsWindow { width: 640 height: 480 visible: tr…
            BlinCT
            BlinCT27 декабря 2023 г. 19:57
            Растягивать Image на парент по высоте Ну и само собою дял включения scrollbar надо чтобы был Flickable. Так что выходит как то так Flickable{ id: root anchors.fill: parent clip: true property url linkFile p…
            Дмитрий
            Дмитрий10 января 2024 г. 15:18
            Qt Creator загружает всю оперативную память Проблема решена. Удалось разобраться с помощью утилиты strace. Запустил ее: strace ./qtcreator Начал выводиться весь лог работы креатора. В один момент он начал считывать фай…
            Evgenii Legotckoi
            Evgenii Legotckoi12 декабря 2023 г. 17:48
            Побуквенное сравнение двух строк Добрый день. Там случайно не высылается этот сигнал textChanged ещё и при форматировани текста? Если решиать в лоб, то можно просто отключать сигнал/слотовое соединение внутри слота и …

            Следите за нами в социальных сетях