解密rfc2898密码

Question

我正在开发中，我需要测试我的登录/密码api。

问题是数据库中的密码是加密的。

我有以下信息。

• 钥匙
• 迭代
• 盐

这足以恢复密码吗？

顺便说一下，如果这有帮助的话，我也可以编辑这些值。

Answer 1

我想你误解了密码API的工作原理。您无法反转正确的散列密码，但可以根据存储的哈希验证输入的密码。

要验证输入的密码，您需要使用创建第一个哈希的相同参数再次计算哈希。然后，您可以比较这两个哈希，如果它们匹配，密码是相同的。

Answer 2

您无法逆转PBKDF2，但您可以强行使用普通密码来查看其中是否有匹配的密码。如果每次使用随机盐，那么您将需要对每个密码独立地执行此操作。如果使用了大量的迭代计数，那么就为花费很长时间做好准备。

Answer 3

首先，你应该重新设置它。

其次，只有在密码薄弱(假设正确实现了PBKDF2)的情况下，您才能恢复它，并且知道它使用的是哪个HMAC (可能是PBKDF2-HMAC-SHA-1 -使用已知的密码进行测试)，或者您愿意花时间尝试几个并希望。

尝试一个像oclHashcat这样的工具，它是为密码破解而设计的-- 注意示例列表末尾的PBKDF2泛型，最好有一个或多个好的GPU。

或者，如果您只是在测试密码API，您可以在我的Github存储库上运行测试向量，看看结果是否正确。