node.js कैसे नमक के बिना has.bcrypt.js हैशेड और प्लेनटेक्स्ट पासवर्ड की तुलना करता है?




(2)

github :

पासवर्ड रखने के लिए:

var bcrypt = require('bcrypt');
bcrypt.genSalt(10, function(err, salt) {
    bcrypt.hash("B4c0/\/", salt, function(err, hash) {
        // Store hash in your password DB.
    });
});

पासवर्ड जांचने के लिए:

// Load hash from your password DB.
bcrypt.compare("B4c0/\/", hash, function(err, res) {
    // res == true
});
bcrypt.compare("not_bacon", hash, function(err, res) {
    // res = false
});

ऊपर से, तुलना में कोई नमक मान शामिल नहीं हो सकता है? मुझे यहां क्या समझ नहीं आ रहा है?


मेरे पास मूल पोस्टर के समान ही प्रश्न था और इसने तंत्र को समझने के लिए चारों ओर देखने और विभिन्न चीजों की कोशिश करने का एक सा लिया। जैसा कि पहले ही दूसरों द्वारा बताया जा चुका है, नमक को अंतिम हैश में बदल दिया जाता है। तो इसका मतलब है कुछ बातें:

  1. एल्गोरिदम को नमक की लंबाई पता होनी चाहिए
  2. अंतिम तार में नमक की स्थिति को भी जानना चाहिए। उदाहरण के लिए यदि बाईं या दाईं ओर से एक विशिष्ट संख्या में ऑफसेट।

ये दो चीजें आमतौर पर कार्यान्वयन में कठिन होती हैं जैसे bcryptjs के लिए bcrypt कार्यान्वयन स्रोत नमक की bcryptjs को 16 के रूप में परिभाषित करता है

/**
* @type {number}
* @const
* @private
*/

var BCRYPT_SALT_LEN = 16;

इस विचार के पीछे की मूल अवधारणा को समझने के लिए यदि कोई इसे मैन्युअल रूप से करना चाहता है, तो यह नीचे के समान दिखाई देगा। मैं अपने आप से इस तरह के सामान को लागू करने की अनुशंसा नहीं करता हूं जब पुस्तकालय होते हैं जो आप इसे करने के लिए प्राप्त कर सकते हैं।

var salt_length = 16;
var salt_offset = 0;

var genSalt = function(callback)
{
    var alphaNum = '0123456789abcdefghijklmnopqurstuvwxyzABCDEFGHIJKLMNOPQURSTUVWXYZ';
    var salt = '';
    for (var i = 0; i < salt_length; i++) {
        var j = Math.floor(Math.random() * alphaNum.length);
        salt += alphaNum[j];
    }
    callback(salt);
}

// cryptographic hash function of your choice e.g. shar2
// preferably included from an External Library (dont reinvent the wheel)
var shar2 = function(str) {
    // shar2 logic here 
    // return hashed string;
}

var hash = function(passwordText, callback)
{
    var passwordHash = null;
    genSalt(function(salt){
        passwordHash = salt + shar2(passwordText + salt);
    });

    callback(null, passwordHash);
}

var compare = function(passwordText, passwordHash, callback)
{
    var salt = passwordHash.substr(salt_offset, salt_length);
    validatedHash = salt + shar2(passwordText + salt);

    callback(passwordHash === validatedHash);   
}

// sample usage
var encryptPassword = function(user)
{
    // user is an object with fields like username, pass, email
    hash(user.pass, function(err, passwordHash){
        // use the hashed password here
        user.pass = passwordHash;
    });

    return user;
}

var checkPassword = function(passwordText, user)
{
    // user has been returned from database with a hashed password
    compare(passwordText, user.pass, function(result){
        // result will be true if the two are equal
        if (result){
            // succeeded
            console.log('Correct Password');
        }
        else {
            // failed
            console.log('Incorrect Password');
        }
    });
}

नमक को हैश (सादे के रूप में) में शामिल किया गया है। तुलना फ़ंक्शन केवल हैश से नमक खींचता है और फिर इसका उपयोग पासवर्ड को हैश करने और तुलना करने के लिए करता है।





bcrypt