G.O.S.S.I.P 阅读推荐 2024-11-05 勿在浮沙筑高台

主要观点总结

文章主要介绍了关于身份认证解决方案公司Okta的安全漏洞和关于“伪”密码安全攻击的文章。文章首先披露了Okta的密钥生成漏洞，然后强调了在使用密码学哈希函数时需要注意区别普通哈希函数和加密哈希函数的区别，并指出了误用哈希函数可能带来的安全风险。

关键观点总结

关键观点1: Okta的安全漏洞

文章中披露了Okta公司使用密钥生成材料是userId + username + password的方式，但由于使用的密钥生成算法bcrypt最多只能接受72个字符的输入，当username过长时，会将password“挤出去”，使得密钥容易被破解。

关键观点2: 普通哈希函数和加密哈希函数的区别

文章介绍了普通哈希函数和加密哈希函数的不同。普通哈希函数主要用于快速处理无恶意输入数据，而加密哈希函数则满足了密码学上的特殊安全定义，用于实现高安全需求的功能。

关键观点3: 误用哈希函数的风险

文章指出，如果误用普通哈希函数来实现高安全需求的功能，可能会面临安全风险。例如，使用普通哈希函数来处理密码等敏感信息，容易被攻击者利用找到碰撞，从而破解密码。