在2018年，建议使用什么哈希来存储密码：bcrypt，scrypt，Argon2？

#1 楼

我不建议将bcrypt用于输入值为人为生成的令牌（例如密码）且威胁模型中存在离线破解的新设计。当您考虑当今这些商品的硬件功能多么强大时，缺乏存储硬性是一个严重的问题。尽管缺少主要的基于bcrypt的加密货币并没有吸引该算法的FPGA或ASIC挖掘实现，但仍然有一些使用混合ARM / FPGA SoC攻击bcrypt的兴趣，例如，2014年的这篇论文。内存硬度对于现代设计来说是一个重要问题。

scrypt在其设计中具有内存硬度，但存在一些不足。首先，有很多基于scrypt的加密货币，这吸引了相当大的商品FPGA和ASIC挖掘解决方案市场，这些解决方案可用于破解。此外，scrypt的内存硬度和迭代次数都与单个标量成本因素相关。这使得难以根据您自己的威胁模型定制scrypt。我建议使用scrypt，它是您所使用的语言或框架中最简单的密码存储选项，例如，如果它已经是用于保护用户密码的内置选项。

最终，我始终建议Argon2作为首选的选择，有以下几个原因：


它已经存在了一段时间-它在2015年获得了PHC奖。有很多研究Argon2安全证明的论文，还有更多研究在专用硬件上加速算法的潜在方法。到目前为止，它已经很好地经受了严格的审查。 Core），Perl和Swift。
Argon2是围绕AES密码构建的，大多数现代的x86_64和ARMv8处理器都实现了AES指令集扩展。这有助于弥合预期系统和专用破解系统之间的性能差距。 （编辑，2019年2月：似乎新版本的Argon2可能与硬件扩展中的AES实现不兼容。有关此问题的评论，请参阅注释。）存储空间只有三分之一，这使得在FPGA上廉价地加速变得更加困难。这是因为基于FPGA的破解解决方案主要受内存带宽的限制，并且采用Argon2的设计，攻击者必须吞下很大的计算时间才能减少内存带宽需求，从而使折衷效率降低。您可以在Argon2论文的第5.1节中阅读有关此内容的更多信息，并在论文“存储器硬函数的权衡分析”的表6（第5节）中提供有关scrypt的信息，以进行比较。可以并行配置CPU硬度参数以及并行度因子。这使您可以更好地定制与用例相关的安全性，例如具有中等CPU能力和大量RAM的服务器。

如您所述，选择的参数很重要。 scrypt不会给您太多选择，因此在这种情况下，我建议您根据时间（例如1500ms处理时间）选择一个成本因素。

对于Argon2，您可以选择的不仅仅是参数。实际上，存在三种不同的Argon2实现，分别称为Argon2d，Argon2i和Argon2id。第一个是Argon2d，在计算上最昂贵，并且能够抵抗内存带宽有限的GPU，FPGA和ASIC的加速。但是，由于Argon2d的内存访问取决于密码，因此泄露有关内存访问信息的旁道攻击可能会泄露密码。如其后缀所示，Argon2i会独立于密码来选择内存地址。这降低了其对GPU破裂的抵抗力，但消除了边通道攻击。 Argon2id是一种混合方法，其中第一遍使用Argon2i（独立）方法，随后遍历使用Argon2d（依赖）方法。

尽可能使用Argon2id实现。但是，这并不总是可用。对于您在服务器上保护密码并且威胁模型认为不太可能发生内存访问侧通道攻击的情况（根据我的经验，这是大多数时间），可以使用Argon2d。如果将内存访问侧信道攻击视为潜在风险，例如在多租户系统中，如果不受信任或不受信任的用户在执行Argon2哈希的同一系统上运行代码，那么Argon2i可能是更好的选择。简而言之：如果可以，请使用Argon2id，在几乎所有其他情况下都使用Argon2d，如果您确实确实需要内存侧通道攻击抵抗力，请考虑使用Argon2i。

对于参数，唯一的硬性规则适用于Argon2i，由于Argon2i具有特殊的规则与其他选择相比相对较弱。具体来说，由于对Argon2i进行了实际的权衡攻击，因此迭代次数必须为10次或更多。 Argon2id和Argon2d可接受的默认值：


512MB内存
8次迭代
并行度为8

速度取决于您的处理器，但是我在系统上达到了约2000ms。

对于Argon2i，您必须提高迭代次数最少为10，这可能会由于性能原因而要求您减少内存系数。这是尝试避免Argon2i的另一个原因，除非您绝对需要Argon2i对内存访问侧通道有抵抗力。