कैसे नमक के बिना has.bcrypt.js हैशेड और प्लेनटेक्स्ट पासवर्ड की तुलना करता है?

से GitHub :

पासवर्ड रखने के लिए:

var bcrypt = require('bcrypt');
bcrypt.genSalt(10, function(err, salt) {
    bcrypt.hash("B4c0/\/", salt, function(err, hash) {
        // Store hash in your password DB.
    });
});

पासवर्ड जाँचने के लिए:

// Load hash from your password DB.
bcrypt.compare("B4c0/\/", hash, function(err, res) {
    // res == true
});
bcrypt.compare("not_bacon", hash, function(err, res) {
    // res = false
});

ऊपर से, तुलना में कोई नमक मान शामिल नहीं हो सकता है? मुझे यहां क्या समझ नहीं आ रहा है?

नमक को हैश (सादे के रूप में) में शामिल किया गया है। तुलना फ़ंक्शन केवल हैश से नमक खींचता है और फिर इसका उपयोग पासवर्ड को हैश करने और तुलना करने के लिए करता है।

मेरे पास मूल पोस्टर के समान ही सवाल था और इसने तंत्र को समझने के लिए चारों ओर देखने और विभिन्न चीजों की कोशिश करने का एक नज़र लिया। जैसा कि पहले ही दूसरों द्वारा बताया जा चुका है, नमक को अंतिम हैश में बदल दिया जाता है। तो इसका मतलब है कुछ बातें:

1. एल्गोरिदम को नमक की लंबाई पता होनी चाहिए
2. अंतिम तार में नमक की स्थिति को भी जानना चाहिए। उदाहरण के लिए यदि बाईं या दाईं ओर से एक विशिष्ट संख्या में ऑफसेट।

ये दो चीजें आमतौर पर कार्यान्वयन में कठिन होती हैं जैसे bcryptjs के लिए bcrypt कार्यान्वयन स्रोत नमक की हड्डियों को 16 के रूप में परिभाषित करता है

/**
* @type {number}
* @const
* @private
*/

var BCRYPT_SALT_LEN = 16;

इस विचार के पीछे की मूल अवधारणा को समझने के लिए अगर कोई इसे मैन्युअल रूप से करना चाहता था, तो यह नीचे के समान दिखाई देगा। मैं अपने आप से इस तरह के सामान को लागू करने की सिफारिश नहीं करता हूं जब पुस्तकालय होते हैं जो आप इसे करने के लिए प्राप्त कर सकते हैं।

var salt_length = 16;
var salt_offset = 0;

var genSalt = function(callback)
{
    var alphaNum = '0123456789abcdefghijklmnopqurstuvwxyzABCDEFGHIJKLMNOPQURSTUVWXYZ';
    var salt = '';
    for (var i = 0; i < salt_length; i++) {
        var j = Math.floor(Math.random() * alphaNum.length);
        salt += alphaNum[j];
    }
    callback(salt);
}

// cryptographic hash function of your choice e.g. shar2
// preferably included from an External Library (dont reinvent the wheel)
var shar2 = function(str) {
    // shar2 logic here 
    // return hashed string;
}

var hash = function(passwordText, callback)
{
    var passwordHash = null;
    genSalt(function(salt){
        passwordHash = salt + shar2(passwordText + salt);
    });

    callback(null, passwordHash);
}

var compare = function(passwordText, passwordHash, callback)
{
    var salt = passwordHash.substr(salt_offset, salt_length);
    validatedHash = salt + shar2(passwordText + salt);

    callback(passwordHash === validatedHash);   
}

// sample usage
var encryptPassword = function(user)
{
    // user is an object with fields like username, pass, email
    hash(user.pass, function(err, passwordHash){
        // use the hashed password here
        user.pass = passwordHash;
    });

    return user;
}

var checkPassword = function(passwordText, user)
{
    // user has been returned from database with a hashed password
    compare(passwordText, user.pass, function(result){
        // result will be true if the two are equal
        if (result){
            // succeeded
            console.log('Correct Password');
        }
        else {
            // failed
            console.log('Incorrect Password');
        }
    });
}

क्योंकि मेरा खुद से भी यही सवाल था, मुझे पता है कि आप क्या सोच रहे हैं।

"गुप्त कुंजी" जो क्रिप्टोग्राफ़िक एल्गोरिदम और "साल्ट" में उपयोग की जाती है, के बीच गलत धारणा है, जो एन्क्रिप्शन प्रक्रिया को धीमा करने और हैकर्स के लिए जानवर बल का उपयोग करने के लिए कठिन बना देता है।

जब आप हैश उत्पन्न करने के लिए सादे पासवर्ड और नमक का उपयोग करते हैं, तो यह हैश गुप्त कुंजी के रूप में पासवर्ड का उपयोग करता है ! तो अगली बार जब आप इसे एक सादे पासवर्ड से तुलना करने का प्रयास करेंगे, तो यह सादा पासवर्ड वही होना चाहिए जो आप हैश उत्पन्न करने के लिए उपयोग करते हैं! तो यही कारण है कि आपको इसे कहीं और स्टोर करने की आवश्यकता नहीं है क्योंकि यह हमेशा उपयोगकर्ता द्वारा रजिस्टर और लॉगिन दोनों चरणों में प्रदान किया जाता है!