Python中的安全密码处理,非常重要!知道这些黑客也奈何不了你!

这篇具有很好参考价值的文章主要介绍了Python中的安全密码处理,非常重要!知道这些黑客也奈何不了你!。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

现在我们已经向用户询问了密码,或者为他们生成了密码,我们该如何处理它呢?我们可能希望将其存储在数据库中的某个地方,但您可能(希望)知道,您不应该以明文格式存储密码。那是为什么?

那么,密码不应该以可恢复的格式存储,无论是纯文本还是加密的。它们应该使用加密强的单向函数进行散列。这样,如果有人掌握了数据库中的密码,他们将很难恢复任何实际的密码,因为从散列中恢复任何密码的唯一方法是强行–也就是说–使用可能的明文密码,用相同的算法对它们进行散列,并将结果与数据库中的条目进行比较。

为了让蛮力变得更难,另外

食盐

应该用。SALT是存储在散列密码旁边的随机字符串。在散列之前,它会被附加到密码中,这使得它更加随机,因此很难猜测(使用彩虹桌 ).

然而,由于现代硬件每秒可尝试数十亿次散列,因此,仅凭密码难以猜测是不够的。

慢的

散列函数用于密码散列,使得攻击者强行使用密码的效率要低得多。

(注:以上所述大大简化了使用这些散列函数的逻辑和原因。有关更多深思熟虑的解释,请参见文章 .)

有相当多的库和单独的散列算法,但上述要求大大缩小了我们的选择范围。在Python中进行散列的解决方案应该是passlib因为它提供了正确的算法,以及高级接口,即使是那些对密码学不太精通的人也可以使用。

pip install passlib

from passlib.hash import bcrypt

from getpass import getpass

print(bcrypt.setting_kwds)

(‘salt’, ‘rounds’, ‘ident’, ‘truncate_error’)

print(bcrypt.default_rounds)

12

hasher = bcrypt.using(rounds=13) # Make it slower

password = getpass()

hashed_password = hasher.hash(password)

print(hashed_password)

$2b 13 13 13H9.qdcodBFCYOWDVMrjx/uT.fbKzYloMYD7Hj2ItDmEOnX5lw.BX.

_// _/___________/

Alg Rounds Salt (22 char) Hash (31 char)

print(hasher.verify(password, hashed_password))

True

print(hasher.verify(“not-the-password”, hashed_password))

False

在我们使用的片段中bcrypt作为我们选择的算法,因为它是最流行和测试最充分的哈希算法之一。首先,我们检查它的可能设置并检查算法使用的默认轮数。然后修改

哈希尔

使用更多的回合(成本因素)使哈希速度变慢,因此哈希更难破解。这个数字应该是最大的,不会给您的用户造成不可容忍的延迟(~300 ms)。passlib定期更新默认循环值,因此不一定需要更改此值。

在HASHER准备就绪后,我们提示用户输入密码并将其散列。此时,我们可以将其存储在数据库中,为了演示起见,我们继续使用原始明文密码验证它。

从上面的代码中,我们可以看到passlib归结为hash和modify我们算法选择的方法。然而,如果你想对计划、回合等有更多的控制权,那么你可以使用CryptContext班级:

from passlib.context import CryptContext

ctx = CryptContext(schemes=[“bcrypt”, “argon2”, “scrypt”],

default=“bcrypt”,

bcrypt__rounds=14)

password = getpass()

hashed_password = ctx.hash(password)

print(hashed_password)

$2b 14 14 14pFTXqnHjn91C8k8ehbuM.uSJM.H5S0l7vkxE8NxgAiS2LiMWMziAe

print(ctx.verify(password, hashed_password))

print(ctx.verify(“not-the-password”, hashed_password))

此上下文对象允许我们处理多个方案、设置默认值或配置成本因素。如果您的应用程序身份验证很简单,那么这可能是不必要的,但是如果您需要使用多个散列算法、不推荐它们、重新哈希哈希或类似的高级任务的能力,那么您可能需要查看全文。CryptContext整合补习 .

另一个你想用的理由CryptContext如果您需要处理操作系统密码,如/etc/shadow。为此,可以使用passlib.hosts,有关详细信息,请参阅示例。这里 .

为了完整起见,我还列出了其他几个可用库,包括它们的(不同的)用例:

  • Bcrypt是我们上面使用的库和算法。这是由以下人员使用的相同代码:passlib没有真正的理由使用这个低级别的库。

  • 地窖是一个Python标准库模块,它提供了能用于密码散列。然而,所提供的算法依赖于您的系统,而文档中列出的算法不如上面所示的强。

  • Hashlib是另一个内置模块。然而,这一个包含了强大的哈希功能,适合密码哈希。这个库的接口使函数更加可定制,因此需要更多的知识才能正确地(安全地)使用。您绝对可以使用来自此模块的函数,例如hashlib.scrypt你的密码。

  • HMAC,Python标准库提供的最后一个散列模块不适合密码散列。HMAC用于验证消息的完整性和真实性,并且不具有密码散列所需的属性。

注意:新获得的关于正确存储密码的方法的知识,让我们想象一下,您忘记了某些服务的密码。你点击

“忘记密码了?”

在网站上,而不是恢复链接,他们给你的实际密码。这意味着他们将您的密码存储在明文中,这也意味着您应该逃离该服务(如果您在其他地方使用了相同的密码,那么就更改它)。

安全储存

====

在上一节中,我们假设目的是存储其他用户的凭据,但是您自己用来登录到远程系统的密码呢?

将密码保留在代码中显然是一个糟糕的选择,因为它是以明文形式提供给任何人看的,而且您也有可能意外地将密码推到gitrepo上。更好的选择是将其存储在环境变量中。你可以创建.env文件,将其添加到.gitignore,将其填充到当前项目所需的凭据中。然后你可以用dotenv将所有这些变量打包到应用程序中,如下所示:

pip install python-dotenv

import os

from os.path import join, dirname

from dotenv import load_dotenv

dotenv_path = join(dirname(file), “.env”)

load_dotenv(dotenv_path)

API_KEY = os.environ.get(“API_KEY”, “default”)

print(API_KEY)

a3491fb2-000f-4d9f-943e-127cfe29c39c

这个片段首先构建到.env文件使用os.path函数,然后使用这些函数加载环境变量。load_dotenv()。如果你.env文件位于当前目录中,如上面的示例所示,那么您可以简化代码,只需调用load_dotenv(find_dotenv())自动找到环境文件。加载文件时,剩下的就是使用os.environ.get .

或者,如果您不想用应用程序变量和秘密污染您的环境,您可以像这样直接加载它们:

from dotenv import dotenv_values

config = dotenv_values(“.env”)

print(config)

OrderedDict([(‘API_KEY’, ‘a3491fb2-000f-4d9f-943e-127cfe29c39c’)])

上面的解决方案很好,但我们可以做得更好。与其将密码存储在不受保护的文件中,我们还可以使用系统的

键环

,该应用程序可以将安全凭据存储在主目录中的加密文件中。默认情况下,该文件使用用户帐户登录密码进行加密,因此在登录时会自动解锁,因此不必担心额外的密码。

要在Python应用程序中使用keyring凭据,我们可以使用名为keyring :

pip install keyring

import keyring

import keyring.util.platform_ as keyring_platform

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
python cryptcontext,2024年程序员学习,python,安全,开发语言
python cryptcontext,2024年程序员学习,python,安全,开发语言
python cryptcontext,2024年程序员学习,python,安全,开发语言
python cryptcontext,2024年程序员学习,python,安全,开发语言
python cryptcontext,2024年程序员学习,python,安全,开发语言
python cryptcontext,2024年程序员学习,python,安全,开发语言

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
python cryptcontext,2024年程序员学习,python,安全,开发语言

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
python cryptcontext,2024年程序员学习,python,安全,开发语言

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
python cryptcontext,2024年程序员学习,python,安全,开发语言

从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
python cryptcontext,2024年程序员学习,python,安全,开发语言

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-ZNGkmKoX-1713018979790)]文章来源地址https://www.toymoban.com/news/detail-857023.html

到了这里,关于Python中的安全密码处理,非常重要!知道这些黑客也奈何不了你!的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 线性代数在数字信号处理中的重要性

    数字信号处理(Digital Signal Processing, DSP)是一种利用数字计算机对连续信号或离散信号进行处理的方法。它广泛应用于电子设计、通信、图像处理、音频处理、机器学习等领域。线性代数是数学的一个分支,主要研究的是矩阵和向量的运算。在数字信号处理中,线性代数发挥着

    2024年02月19日
    浏览(35)
  • 网络安全在医疗行业中的重要性

    不可否认,现代世界见证了技术和医疗行业的交织,塑造了我们诊断、治疗和管理健康状况的新方式。随着电子健康记录取代纸质文件,远程医疗缩短了患者和医疗服务提供者之间的距离,数字化转型既是福音,也是挑战。最近的全球化进一步加速了医疗保健领域的数字化发

    2024年02月11日
    浏览(36)
  • 安全加速SCDN在网站运营中的重要作用

    SCDN(Secure Content Delivery Network)是一种安全加速技术,对于网站运营起到非常重要的作用。它能够提升用户体验,保护网站安全,提高网站的性能和可靠性。本文将详细介绍SCDN在网站运营中的作用。 首先,SCDN可以帮助网站提供更快速的访问速度和更流畅的用户体验。在传统

    2024年03月16日
    浏览(77)
  • 【软考:网工】协议篇(非常重要)

    还是来自summer老师的,B站可以搜“summer”课堂,看相关视频哦~ 协议分类 (1)以太网:一般用于局域网 以太网帧结构: (2)帧中继:一种广域网技术 例题:下列分组父换网络中,米用的交换技术与其他3个不同的是( )网。 A.IP B.X.25 C.帧中继 D.ATM (3)HDLC (1)ipv4 TTL经过一

    2024年02月08日
    浏览(27)
  • 学习sql,你需要知道这些

    MySql Oracle PostgreSql MogoDB Redis DynamoDB Elaticsearch 事务就是由单独单元的一个或多个sql语句组成,在这个单元中,每个sql语句都是相互依赖的。而整个单独单元是作为一个不可分割的整体存在,类似于物理当中的原子(一种不可分割的最小单位)。 往通俗的讲就是,事务就是一个

    2024年02月07日
    浏览(37)
  • Wi-Fi 安全在学校中的重要性

    Wi-Fi 是教育机构的基础设施,从在线家庭作业门户到虚拟教师会议,应有尽有。大多数 K-12 管理员对自己的 Wi-Fi 网络的安全性充满信心,并认为他们现有的网络安全措施已经足够。 不幸的是,这种信心往往是错误的。Wi-Fi 安全虽然经常被忽视,但可能是学校网络安全系统的

    2024年02月12日
    浏览(33)
  • 护网行动 | AD360 在网络安全中的重要作用

    随着数字化时代的来临,网络已经成为了人们生活和工作中不可或缺的一部分。然而,随之而来的是网络安全问题日益突出。为了应对这些安全威胁,护网行动应运而生,其中AD360在保障网络安全方面扮演着至关重要的角色。 AD360是一个集成的解决方案,能够帮助企业高效地

    2024年02月13日
    浏览(46)
  • MD5在文件安全中的应用与重要性

    一、MD5简介 MD5(Message-Digest Algorithm 5)是一种广泛应用的密码散列函数,由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)于1992年提出。它主要用于对任意长度的消息或文件进行加密,生成一个128位的固定长度的摘要(hash value),从而实现数据的完整性验证和身份认证。

    2024年02月04日
    浏览(42)
  • 学node 之前你要知道这些

       19年年底一个偶然的机会接到年会任务,有微信扫码登录、投票、弹幕等功能,于是决定用node 来写几个服务,结果也比较顺利。   当时用看了下koa2的官方文档,知道怎么连接数据库、怎么映射表实体,怎么处理http,怎么处理异常等,就可以直接写起来了。从应用层

    2024年02月03日
    浏览(41)
  • 关于数字孪生,这些大事件你知道吗?

    数字孪生是指将物理实体通过数字化建模、仿真和可视化技术转化为虚拟实体的过程,可以用于设计、制造、运营、维护等领域。 作为一个新兴技术,在这短暂的几年内,关于数字孪生都有哪些大事件呢? 2017年,德国工业4.0战略正式提出数字孪生的概念,将其作为推动工业

    2024年02月01日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包