应用安全思维系列之一：如何保护密码才安全

【本文背景】

近几年，国内一些企业的后台用户信息被黑客公布，相信大家都有耳闻，这只是公布了的，没公布的呢？还有多少，你想想诸多中国互联网企业保存了多少用户的数据，它们往往都是黑客们的“余粮”，这些事件导致的损失咱就不耸人听闻了，在类似事件当中，有诸多的用户隐私信息，其中最敏感的莫过于密码本身了，今天就讲讲对于企业应用来说，如何保护用户的密码才安全。

使用“安全思维”一词，源于我认为这些原则不需要背诵，而是你应用安全思维形成后的信手拈来。

【密码保护的原则】

1. 永远不要在数据库、会话及本文当中保存明码密码，中间临时的变量存储用完后要及时清空

2. 在正式的产品线上运行的产品，任何人不应该有渠道获取到用户密码的明码，包括但不限于产品开发人员、产品维运人员及技术支持人员

3. 用户密码只采用sha2-256或者更高版本更多数位的算法进行哈希，而不是用诸如AES算法进行加密

4. 任何用户的密码在哈希时必需包括但不限于： 1）可配置长串Key 2)用户设置密码时动态随机生成随机串 3）用户密码本身

5. 永远不要以任何形式log用户的密码，无论你是想做问题的调试还是用户信息的收集，密码的明码都是不能碰的

6. 不要认为以上1-5 block你的业务逻辑实现，那是你的实现方法不对，以上的原则是正确的 7. 企业应用系统必需严格的log任何人的对用户敏感信息的操作 可能有人会问“帐户泄漏不是因为以下可能的原因导致的吗“？

1）应用层的漏洞，诸如：SQL Injection导致非授权数据被查询出来

2) HTTP 伺服器（e.g. Apache\Tomcat...）实现时用的程序语言导致缓冲区溢出、业务逻辑导致的缓冲区溢出等导致远程代码注入与执行从而进入后台直接拧取数据库内容

3）网络操作系统实现时用的程序语言导致缓冲区溢出、业务逻辑导致的缓冲区溢出等导致远程代码注入与执行从而进入后台直接拧取数据库内容

4）数据库伺服器(e.g. MySql)实现时用的程序语言导致缓冲区溢出、业务逻辑导致的缓冲区溢出等导致远程代码注入与执行从而进入后台直接拧取数据库内容

......

是的，以上往往是爆库的直接原因，但是在这里我建议您想想这三个概念：攻击者、受害者、责任者，对于以上的原因，只有原因1）本身的责任者是产品的主人，而各种服务端软件提供者、操作系统往往并不被企业直接进行代码级维护，你是可以通过安全设置与配置进行安全设置，但是它的体系何止你了解的那么一丁点儿？ 对于做产品应用的企业来说，最佳的原则是：即便一整套系统被人搬走了，我也能最大限度的保护用户的隐私及敏感信息！

OK，我们继续解读以上7原则。

原则1. 这一条很容易理解，明码意味着总有人有渠道去获取，这个人现在可能是朋友，将来也可能是敌人，所以有明码密码的地方就是孽源，呵呵

原则2. 如刚才所说，哈希后的密码也不应该通过简单的反向算法就可以恢复到原文，如果这样，对于企业的开发人员来说等于没有加密，还是那句话：在保护用户敏感信息上，没有可以相信的人，只有正确的方法。

原则3. 我一直在避免说“加密”二字，这两个字容易让人联想到能加就能解的事儿，所以容易习惯性的使用加密算法对密码进行加密存储，这样产品的实现者比较容易通过逆向的方法获取到用户密码

原则4. 可配置的Key可以有效的避免产品的开发与测试人员用同样的方法在正式产品线上通过逆向的方式破解用户敏感信息，随机Key的目的是让正式产品线上的维护者也较难通过逆向的方法来破解用户信息，更重要的是避免在用户信息表里具有相同密码的用户们拥有相同的哈希值！ 具体如何实现嘛，办法肯定有，需要智慧哟~_~

原则5. 许多公司的通病，就是开发与测试人员为了自己的方便常把诸多信息写到LOG里，以方便自己的调试与问题跟踪，有了这个口子，一切安全措施都变成徒劳了，千万不要这么做！ 原则6. 说这一条就是为了堵住具体实现人员的嘴，呵呵，没有实现不了的，只有你没想到的。原则有了，实现方法一定会有，没有直线的方法，可以有曲线的方法，总之一定有。具体产品具体业务逻辑具体对待，没有统一的方法，能统一的，我就告诉你了~_~，但是整体思想是一致的。

原则7. 记录企业产品的管理员、维运人员、技术支持人员的敏感操作(包括但不限于)，对于一些重大安全事件的追踪相当有意义，最终有一种“锁”机制，如果敏感log不能写成功，那操作就不能执行，敏感操作的log最好放在相对独立的服务器上，以防止被毁尸灭迹~_~。本人就有一个大胆的猜想：诸多企业的爆库事件，至少有一种可能就是来自企业内部，而并非一定来自“真正意义上的黑客”，大家千万别攻击我，我只是说至少有一种可能。

做应用安全的过程就如你从刚接触自行车到最终可以熟练的驾驭的过程。当你首次接触自行车的时候，通常有一种困惑就是：两个轮子为什么不会倒？甚至因此质疑自己到底能不能学会。当你学会了以后，你就不需要再考虑它倒不倒的事儿了，任何一个要倒的倾向，你都会在不经意间化险为夷，这就是你已经领会它的神了，植入了你的潜意识。应用安全的思维也是这么形成的，只是过程要漫长的多。我们学任何知识，最终能终身受益的往往不是知识本身，而是它的思维方式，比如：数学让你有推理的思维习惯，历史让你有反思的思维习惯，哲学让你有透过现象看本质的思维习惯等等，大学毕业数年了，如果你不从事相关职业，让你去考试，你能考几分？但这并不表明你学的东西都忘记了，其实最有价值的东西还保存着呢，那就是：思维方式。应用安全也一样。祝您早日驾驭应用安全！