web 应用常见密码加密方案的比较

最近在使用 go 的加密库时，发现以前很多习以为常的加密方案并没有真正吃透，使用起来还是一知半解，所以对加密这块的知识需要再查漏补缺一下，首先就是熟悉下常见的密码加密方案。

密码加密

密码加密是对数据库用户的登录密码、支付密码明文等做加密，防止数据库被黑之后，用户密码直接暴露造成更大的损失。以下是几种常见的加密方法：

• MD5 消息摘要算法（Message-Digest Algorithm）
  MD5算法是一种密码散列函数，发布于1992年，可以产生出一个128位（16个字符(bytes)）的散列值（hash value），用于确保信息传输完整一致。经过 MD5 计算出的值不可逆，并且相同的值才能得到相同得散列值，正是根据这个特性才实现了密码验证的功能，只需要将用户的密码提前经 MD5 计算后存储，在验证时根据用户输入再经过 MD5 计算和存储中的值比较即可。不过该算法已经被证实可被碰撞算法破解，并且 MD5 散列值做密码容易被彩虹表攻击，现在已经极为不推荐做密码加密的方案。

php 代码实现：

$h_md5 = md5("asbc....")

go 代码实现：

data := []byte("These pretzels are making me thirsty.")
fmt.Printf("%x", md5.Sum(data))

• Bcrypt
  该算法是一种密码散列函数，基于Blowfish 加密算法，发布于1999年，经过 Bcrypt 计算出的值不可逆，实现中 bcrypt 会使用一个加盐的流程，即相同的密码也会因为盐不同而生成不同结果，以防御彩虹表破解，同时 bcrypt 还是适应性函数，它可以借由增加迭代之次数来抵御日益增进的电脑运算能力透过暴力法破解。
  盐是密码学中的术语，是指在散列内容之前在任意固定位置插入特定的字符串，这个在散列中加入字符串的方式称为“加盐”。其作用是让加盐后的散列结果和没有加盐的结果不相同，在不同的应用情景中，这个处理可以增加额外的安全性。在大部分情况，盐是不需要保密的。盐可以是随机产生的字符串，其插入的位置可以也是随意而定。如果这个散列结果在将来需要进行验证（例如：验证用户输入的密码），则需要将已使用的盐记录下来。
  迭代次数指多轮计算，即当前散列值会用作下一次散列计算的因数，直到达到迭代规定的次数，通常要根据服务器性能选择适合的迭代次数，保证效率和安全的平衡。

php 代码实现：

$b_c = password_hash('123', PASSWORD_BCRYPT, ['cost' => 10]);
echo $b_c;

输出

$2y$10$HKtKU6Hc65aJFTEMT5sI/u8hiZhuky7s6j2NVmW6B6J1TXQuRxg5K

经过散列计算的结果包含使用的算法、cost 和盐值，使用 password_verify() 可以直接验证指定值和散列值是否一致。

go 代码实现
需要安装 go 的三方库 golang.org/x/crypto，使用其中的 bcrypt 包

import "golang.org/x/crypto/bcrypt"

// 生成密码的哈希值，cost 是迭代次数
hashedPassword, err := bcrypt.GenerateFromPassword([]byte("my_password"), bcrypt.DefaultCost)
if err != nil {
    // 处理错误
}

go 验证哈希

err := bcrypt.CompareHashAndPassword([]byte(pwdHash), []byte(password))
if err == nil {
  //验证成功
}

• Scrypt
  scrypt 是一种密码派生函数，发布于2009年，所谓密码派生函数（Key derivation function，简称：KDF）是密码学中的一个术语，指使用伪随机函数从密码中派生出一个或多个密钥。scrypt 设计时考虑到要抵抗专有破解密码的硬件（如ASIC），所以刻意设计为内存密集型的运算。其防御理论基础为时空权衡，即平时常听到的以空间换时间，这里的空间就是指的内存，因为该算法会大量消耗内存，破解时就因为内存成本过高而难以大规模并行计算，这样的安全特性使得 scrypt 在多个数字货币的工作量证明算法上都有应用。当然还是因为 scrypt 的算法特性，在正常的业务场景中如有频繁的验证密码的情况下，需要关注系统资源是否足够，做好优化的准备。

php 代码实现，需要安装扩展才可以使用，通过 pecl 安装

pecl install scrypt

go 代码实现，需要安装 go 的三方库 golang.org/x/crypto，使用其中的 scrypt 包，scrypt 包只提供密码生成，密码生成时的盐需要自己生成随机数，并且其他生成因子也可以自定义，这就需要每生成一个密码，自己存储这些生成因子，在需要验证时取出来进行比较。

import (
    "crypto/rand"
    "encoding/base64"
    "fmt"
    "golang.org/x/crypto/scrypt"
    "log"
)

// GenerateSalt 生成随机盐
func GenerateSalt(size int) ([]byte, error) {
    salt := make([]byte, size)
    _, err := rand.Read(salt)
    if err != nil {
        return nil, err
    }
    return salt, nil
}

// HashPassword 使用 scrypt 生成哈希密码
func HashPassword(password string) (string, string, error) {
    const N = 1 << 15
    const r = 8
    const p = 1

    // 生成随机盐
    salt, err := GenerateSalt(8)
    if err != nil {
        return "", "", err
    }

    // 使用 scrypt 生成密钥
    key, err := scrypt.Key([]byte(password), salt, N, r, p, 32)
    if err != nil {
        return "", "", err
    }

    // 编码盐和密钥为 Base64
    saltBase64 := base64.StdEncoding.EncodeToString(salt)
    keyBase64 := base64.StdEncoding.EncodeToString(key)

    return saltBase64, keyBase64, nil
}

// VerifyPassword 验证密码
func VerifyPassword(password, saltBase64, hashedPasswordBase64 string) (bool, error) {
    const N = 1 << 15
    const r = 8
    const p = 1

    // 解码 Base64 编码的盐和密钥
    salt, err := base64.StdEncoding.DecodeString(saltBase64)
    if err != nil {
        return false, err
    }

    // 使用 scrypt 生成密钥
    key, err := scrypt.Key([]byte(password), salt, N, r, p, 32)
    if err != nil {
        return false, err
    }

    // 编码生成的密钥为 Base64
    keyBase64 := base64.StdEncoding.EncodeToString(key)

    // 比较生成的密钥和存储的密钥
    return keyBase64 == hashedPasswordBase64, nil
}

func main() {
    password := "my_secret_password"

    // 生成哈希密码和盐
    salt, hashedPassword, err := HashPassword(password)
    if err != nil {
        log.Fatal(err)
    }

    fmt.Println("Salt:", salt)
    fmt.Println("Hashed Password:", hashedPassword)

    // 验证密码
    valid, err := VerifyPassword(password, salt, hashedPassword)
    if err != nil {
        log.Fatal(err)
    }

    if valid {
        fmt.Println("Password is valid!")
    } else {
        fmt.Println("Invalid password.")
    }
}

• pbkdf2
  pbkdf2（Password-Based Key Derivation Function）是一种密码派生函数，它通过伪随机函数加盐多次迭代后生成密码，可以选择使用的散列算法。pbkdf2 算法的内存消耗低，抵抗专有破解密码的硬件（如ASIC）的能力不强。

php 代码实现，使用 hash_pbkdf2 函数，密码生成因子需要向上文提到的 go scrypt 算法中那样自己存储，并且自己完成验证。

// 定义参数
$algorithm = 'sha256';
$iterations = 1000; // 推荐至少 1000 次迭代
$length = 0; // 输出密钥长度，例如 40 字节对应 320 位
$password = '222';
$salt = 'random_salt_' . bin2hex(random_bytes(16)); // 生成随机盐值

// 生成密钥
$derivedKey = hash_pbkdf2($algorithm, $password, $salt, $iterations, $length, true);

// 显示结果
echo "Salt: " . $salt . "\n";
echo "Derived Key: " . bin2hex($derivedKey) . "\n";
exit;

go 代码实现，需要安装 go 的三方库 golang.org/x/crypto，使用其中的 pbkdf2 包，参考 scrypt 包的密码生成和验证方式。

dk := pbkdf2.Key([]byte("some password"), salt, 4096, 32, sha1.New)

以上几种为常见的 web 应用密码加密方案，按安全性排名为 scrypt > bcrypt > pbkdf2 > md5，其中以 bcrypt 为主流方案，兼顾了安全性和性能，并且以编程语言层面的支持来看，除了 bcrypt 实现了完整的密码生成和验证的配套方案，其余都需要自己实现，但我个人觉得 scrypt 算法抗硬件破解的能力很强，如果有特殊场景觉得 bcrypt 和 pbkdf2 的安全程度不够时，可以考虑用 scrypt。

题外话：对称加密和非对称加密适合做密码加密吗？
答案是否定的，我以前在做项目时，还偏偏用的是对称加密，虽然也能实现数据库明文密码加密，但是从加密理念以及安全性上来看都是不可取的。首先这两种方式对加密数据都是可逆的，也就是说密码还能恢复成明文，这个从加密理念上来说就不对，密码应该是只能采取碰撞比对的形式，本身就应该不可逆，其次是密钥一旦泄露，所有加密的密码也将被破解，整体的风险就会变得非常大。