主要观点总结
文章主要介绍了关于身份认证解决方案公司Okta的安全漏洞和关于“伪”密码安全攻击的文章。文章首先披露了Okta的密钥生成漏洞,然后强调了在使用密码学哈希函数时需要注意区别普通哈希函数和加密哈希函数的区别,并指出了误用哈希函数可能带来的安全风险。
关键观点总结
关键观点1: Okta的安全漏洞
文章中披露了Okta公司使用密钥生成材料是userId + username + password的方式,但由于使用的密钥生成算法bcrypt最多只能接受72个字符的输入,当username过长时,会将password“挤出去”,使得密钥容易被破解。
关键观点2: 普通哈希函数和加密哈希函数的区别
文章介绍了普通哈希函数和加密哈希函数的不同。普通哈希函数主要用于快速处理无恶意输入数据,而加密哈希函数则满足了密码学上的特殊安全定义,用于实现高安全需求的功能。
关键观点3: 误用哈希函数的风险
文章指出,如果误用普通哈希函数来实现高安全需求的功能,可能会面临安全风险。例如,使用普通哈希函数来处理密码等敏感信息,容易被攻击者利用找到碰撞,从而破解密码。
文章预览
前几天,网络上披露了一个关于一家专门开发身份认证解决方案的公司——Okta的安全漏洞,这个漏洞非常幽默,起因是在某个地方的密钥生成的时候,密钥生成的材料是 userId + username + password ;而好巧不巧的是,这个时候使用的密钥生成算法(key derivation function,KDF)是知名但古老的bcrypt,它的特点之一是最多接受72个字符作为输入,其余的会被截断,那么如果username太长的话,就会把password给“挤出去”,也就是说,只需要用公开的userId和username就可以构造特定的key了…… 上面的故事只是抛砖引玉,今天要介绍的文章其实是一篇“伪”密码安全攻击的文章: 乍一看这篇文章的标题,似乎介绍了一系列hash算法的破解,堪比王小云院士,但是生活在我们这个AI和自媒体每天都在生产大量信息垃圾( 啊,我们好像也是自媒体? )的时代,看任何标题都
………………………………
