几乎每个应用程序都需要某种形式的身份验证、密码处理或使用安全凭据(如API密钥)。您可能不是安全专家,但您应该知道如何安全地处理所有这些密码和凭据,以保护应用程序用户的凭据和数据以及您自己的API密钥和各种令牌。
确保这些安全元素的安全包括:生成它们、验证它们、安全地存储它们以及保护它们不受敌人的攻击。因此,在这篇文章中,我们将探索Python库、工具和概念,这些工具和概念将起到同样的作用!
提示密码
让我们简单地开始--您有带有命令行接口的基本Python应用程序。您需要向用户询问密码。你可以用input(),但这将显示终端中的密码,以避免使用getpass相反:
import getpass
user = getpass.getuser()
password = getpass.getpass()
# Do Stuff...
getpass是一个非常简单的包,它允许您提示用户输入密码,并通过提取当前用户的登录名获取他们的用户名。但是要注意,并不是每个系统都支持隐藏密码。Python将尝试对此发出警告,所以只需在命令行中读取警告即可。
生成
有时,最好生成密码,而不是提示用户输入密码。例如,如果您希望设置第一次登录时更改的初始密码。
没有生成密码的库,但实现它并不困难:
import string
import secrets
length = 15
# Choose wide set of characters, but consider what your system can handle
alphabet = string.ascii_letters + string.digits + string.punctuation
password = ''.join(secrets.choice(alphabet) for i in range(length))
使用上述代码生成的密码将很强,但很难记住。如果它只是一个初始的、临时的密码或短暂的令牌,那么就可以了,但是如果用户应该使用更长的密码,那么使用密码就更合适了。
我们可以像上面使用简单的密码那样构建一个密码生成器,但是如果有可用的库,为什么还要麻烦呢?这个图书馆叫做xkcdpass后著名XKCD关于密码强度,它所做的正是漫画所描述的--产生了由文字组成的强大的密码:
# pip install xkcdpass
from xkcdpass import xkcd_password as xp
word_file = xp.locate_wordfile()
words = xp.generate_wordlist(wordfile=word_file, min_length=5, max_length=10)
for i in range(4):
print(xp.generate_xkcdpassword(words, acrostic="python", numwords=6, delimiter="*"))
# punch*yesterday*throwback*heaviness*overnight*numbing
# plethora*yesterday*thigh*handlebar*outmost*natural
# pyromania*yearly*twisty*hyphen*overstuff*nuzzle
# pandemic*yearly*theology*hatching*overlaid*neurosis
这个片段首先在您的系统中找到一个单词/字典文件,例如/usr/dict/words并选择指定长度的所有单词,然后从其中生成用于生成密码短语的单词列表。生成器本身有一些参数,我们可以使用这些参数来自定义密码短语。除了明显的字数和长度外,它还有
肢端
参数,哪个单词的字符将用作密码中单词的首字母(听起来很复杂?)好吧,参见上面的密码示例)。
如果您真的想自己构建它,而不是将依赖项添加到您的项目中,您可以在Python文档 .
散列
现在我们已经向用户询问了密码,或者为他们生成了密码,我们该如何处理它呢?我们可能希望将其存储在数据库中的某个地方,但您可能(希望)知道,您不应该以明文格式存储密码。那是为什么?
那么,密码不应该以可恢复的格式存储,无论是纯文本还是加密的。它们应该使用加密强的单向函数进行散列。这样,如果有人掌握了数据库中的密码,他们将很难恢复任何实际的密码,因为从散列中恢复任何密码的唯一方法是强行--也就是说--使用可能的明文密码,用相同的算法对它们进行散列,并将结果与数据库中的条目进行比较。
为了让蛮力变得更难,另外
食盐
应该用。SALT是存储在散列密码旁边的随机字符串。在散列之前,它会被附加到密码中,这使得它更加随机,因此很难猜测(使用彩虹桌 ).
然而,由于现代硬件每秒可尝试数十亿次散列,因此,仅凭密码难以猜测是不够的。
慢的
散列函数用于密码散列,使得攻击者强行使用密码的效率要低得多。
(注:以上所述大大简化了使用这些散列函数的逻辑和原因。有关更多深思熟虑的解释,请参见文章 .)
有相当多的库和单独的散列算法,但上述要求大大缩小了我们的选择范围。在Python中进行散列的解决方案应该是passlib因为它提供了正确的算法,以及高级接口,即使是那些对密码学不太精通的人也可以使用。
# pip install passlib
from passlib.hash import bcrypt
from getpass import getpass
print(bcrypt.setting_kwds)
# ('salt', 'rounds', 'ident', 'truncate_error')
print(bcrypt.default_rounds)
# 12
hasher = bcrypt.using(rounds=13) # Make it slower
password = getpass()
hashed_password = hasher.hash(password)
print(hashed_password)
# $2b$13$H9.qdcodBFCYOWDVMrjx/uT.fbKzYloMYD7Hj2ItDmEOnX5lw.BX.
# \__/\/ \____________________/\_____________________________/
# Alg Rounds Salt (22 char) Hash (31 char)
print(hasher.verify(password, hashed_password))
# True
print(hasher.verify("not-the-password", hashed_password))
# False
在我们使用的片段中bcrypt作为我们选择的算法,因为它是最流行和测试最充分的哈希算法之一。首先,我们检查它的可能设置并检查算法使用的默认轮数。然后修改
哈希尔
使用更多的回合(成本因素)使哈希速度变慢,因此哈希更难破解。这个数字应该是最大的,不会给您的用户造成不可容忍的延迟(~300 ms)。passlib定期更新默认循环值,因此不一定需要更改此值。
在HASHER准备就绪后,我们提示用户输入密码并将其散列。此时,我们可以将其存储在数据库中,为了演示起见,我们继续使用原始明文密码验证它。
从上面的代码中,我们可以看到passlib归结为hash和modify我们算法选择的方法。然而,如果你想对计划、回合等有更多的控制权,那么你可以使用CryptContext班级:
from passlib.context import CryptContext
ctx = CryptContext(schemes=["bcrypt", "argon2", "scrypt"],
default="bcrypt",
bcrypt__rounds=14)
password = getpass()
hashed_password = ctx.hash(password)
print(hashed_password)
# $2b$14$pFTXqnHjn91C8k8ehbuM.uSJM.H5S0l7vkxE8NxgAiS2LiMWMziAe
print(ctx.verify(password, hashed_password))
print(ctx.verify("not-the-password", hashed_password))
此上下文对象允许我们处理多个方案、设置默认值或配置成本因素。如果您的应用程序身份验证很简单,那么这可能是不必要的,但是如果您需要使用多个散列算法、不推荐它们、重新哈希哈希或类似的高级任务的能力,那么您可能需要查看全文。CryptContext整合补习 .
另一个你想用的理由CryptContext如果您需要处理操作系统密码,如/etc/shadow。为此,可以使用passlib.hosts,有关详细信息,请参阅示例。这里 .
为了完整起见,我还列出了其他几个可用库,包括它们的(不同的)用例:
-
Bcrypt是我们上面使用的库和算法。这是由以下人员使用的相同代码:
passlib没有真正的理由使用这个低级别的库。 -
地窖是一个Python标准库模块,它提供了
能
用于密码散列。然而,所提供的算法依赖于您的系统,而文档中列出的算法不如上面所示的强。
-
Hashlib是另一个内置模块。然而,这一个包含了强大的哈希功能,适合密码哈希。这个库的接口使函数更加可定制,因此需要更多的知识才能正确地(安全地)使用。您绝对可以使用来自此模块的函数,例如
hashlib.scrypt你的密码。 -
HMAC,Python标准库提供的最后一个散列模块不适合密码散列。HMAC用于验证消息的完整性和真实性,并且不具有密码散列所需的属性。
注意:新获得的关于正确存储密码的方法的知识,让我们想象一下,您忘记了某些服务的密码。你点击
“忘记密码了?”
在网站上,而不是恢复链接,他们给你的实际密码。这意味着他们将您的密码存储在明文中,这也意味着您应该逃离该服务(如果您在其他地方使用了相同的密码,那么就更改它)。
安全储存
在上一节中,我们假设目的是存储其他用户的凭据,但是您自己用来登录到远程系统的密码呢?
将密码保留在代码中显然是一个糟糕的选择,因为它是以明文形式提供给任何人看的,而且您也有可能意外地将密码推到gitrepo上。更好的选择是将其存储在环境变量中。你可以创建.env文件,将其添加到.gitignore,将其填充到当前项目所需的凭据中。然后你可以用dotenv将所有这些变量打包到应用程序中,如下所示:
# pip install python-dotenv
import os
from os.path import join, dirname
from dotenv import load_dotenv
dotenv_path = join(dirname(__file__), ".env")
load_dotenv(dotenv_path)
API_KEY = os.environ.get("API_KEY", "default")
print(API_KEY)
# a3491fb2-000f-4d9f-943e-127cfe29c39c
这个片段首先构建到.env文件使用os.path函数,然后使用这些函数加载环境变量。load_dotenv()。如果你.env文件位于当前目录中,如上面的示例所示,那么您可以简化代码,只需调用load_dotenv(find_dotenv())自动找到环境文件。加载文件时,剩下的就是使用os.environ.get .
或者,如果您不想用应用程序变量和秘密污染您的环境,您可以像这样直接加载它们:
from dotenv import dotenv_values
config = dotenv_values(".env")
print(config)
# OrderedDict([('API_KEY', 'a3491fb2-000f-4d9f-943e-127cfe29c39c')])
上面的解决方案很好,但我们可以做得更好。与其将密码存储在不受保护的文件中,我们还可以使用系统的
键环
,该应用程序可以将安全凭据存储在主目录中的加密文件中。默认情况下,该文件使用用户帐户登录密码进行加密,因此在登录时会自动解锁,因此不必担心额外的密码。
要在Python应用程序中使用keyring凭据,我们可以使用名为keyring :
# pip install keyring
import keyring
import keyring.util.platform_ as keyring_platform
print(keyring_platform.config_root())
# /home/username/.config/python_keyring # Might be different for you
print(keyring.get_keyring())
# keyring.backends.SecretService.Keyring (priority: 5)
NAMESPACE = "my-app"
ENTRY = "API_KEY"
keyring.set_password(NAMESPACE, ENTRY, "a3491fb2-000f-4d9f-943e-127cfe29c39c")
print(keyring.get_password(NAMESPACE, ENTRY))
# a3491fb2-000f-4d9f-943e-127cfe29c39c
cred = keyring.get_credential(NAMESPACE, ENTRY)
print(f"Password for username {cred.username} in namespace {NAMESPACE} is {cred.password}")
# Password for username API_KEY in namespace my-app is a3491fb2-000f-4d9f-943e-127cfe29c39c
在上面的代码中,我们首先检查keyring配置文件的位置,这是您可以在需要时进行一些配置调整的地方。然后我们检查活动密钥环并继续向其中添加一个密码。每个条目有3个属性-
服务
,
用户名
和
密码
,其中服务充当名称空间,在本例中,名称空间将是应用程序的名称。要创建和检索条目,我们只需使用set_password和get_password分别。除此之外,get_credential可以使用-它返回
凭证
对象,该对象具有用户名和密码的属性。
封闭思想
即使您不是安全专家,您仍然负责您构建的应用程序的基本安全特性。这包括很好地处理用户的数据,特别是密码,因此希望这些示例和菜谱能够帮助您做到这一点。
除了本文中展示的方法和技术之外,处理密码的最佳方法是避免完全使用密码,方法是将身份验证委托给OIDC提供者(例如Google或GitHub),或者用基于密钥的身份验证和加密替换它们,我们将在下一篇文章中讨论这些问题。
