很久以前看到一篇文章，講某個大網站儲存使用者口令時，會經過十分複雜的處理。怎麼個複雜不記得了，大概就是將口令先 Hash，結果加上一些特殊字元再 Hash，然後中間插入些字元再 Hash、再怎麼怎麼的。。。看的眼花繚亂。

當時心想這麼複雜應該很安全了吧。事實上即使現在，仍有不少人是這麼認為的。所以在儲存賬號口令時，經常會弄些千奇百怪的組合。

不過，千奇百怪的 Hash 演算法究竟有意義嗎？在什麼情況下能派上用場？是否有更簡單合理的替代方案？這問題先從拖庫說起。

知道演算法才能破解

資料庫中的口令，都是以 Hash 形式儲存的。拖下資料庫後，如果要猜某個賬號的明文口令，得通過跑字典的方式：

for each word in 常用詞彙
    if H(word) == E
        print "明文："，word
        exit
 

不過，光有洩露的資料 E 不夠，還得知道演算法 H 才能跑的起來。光有 Hash 值，卻不知道用的是那種 Hash 演算法，仍然無從下手。

當然很多小網站，資料庫和演算法在同個系統裡，一旦入侵兩者都洩露了；但若資料庫和演算法不在同個系統裡，即使能拖庫也未必知道演算法。

猜演算法

不過即使搞不到演算法，也可以嘗試猜測。比如先在網站上註冊個賬號 —— 例如口令為 123456，然後在洩露的庫中，根據使用者名稱找到對應口令的 Hash 值，例如 dd6e5e5918e94d997c686fcebc56922f。

這時，就可以暴力猜演算法了：

for each fn in 常用演算法
    if fn("123456") == dd6e5e5918e94d997c686fcebc56922f
        print "演算法：", fn
        exit
 

不難猜出，fn 為 f(x) = md5(sha256(x))。知道了演算法，就可愉快的跑字典了。

奇怪演算法

這時「奇怪演算法」的優勢就體現出來了。 如果使用的演算法十分奇葩，比如：

f(x) = md5("hello~" + sha1(sha256(x)) + "world!")

根本不在常用演算法裡，幾乎難以窮舉到，於是就能躲過「猜演算法」這種攻擊方式。

所以，奇怪的演算法是有意義的！

不過奇怪、奇葩、變態...這些都是人的主觀感覺，並不能用理性來衡量。比如說剛才那個演算法有多複雜？你只能說很複雜，而難以給出一個準確的程度。

演算法簡單，資料複雜

通過混合拼湊多個函式，來製造複雜程度，終究不是最合適的。

不妨把複雜轉移到資料上，例如上述的 "hello~" 和 "world!"，如果換成更長、更沒意義、更難猜測的資料，不也能製造複雜嗎？

所以，最終可以把函式精簡到只剩一個，取而代之的是複雜的資料，例如：

f(x) = sha256(x + "18bc0a594ab5f65d868820b238b696e391eabb962e1d15c2c474a04735c1128f")

這串資料稱之為金鑰。金鑰是隨機生成的，沒有任何意義，並且絕不能對外透露。

這樣，複雜程度就能在金鑰空間上體現出來，而不是難以衡量的奇怪函式組合。

不過這裡有個疑惑，為什麼「金鑰」加在原文後面，而不是前面、或者夾在中間？如果僅僅是看著舒服，那還是存在主觀因素的。

HMAC

事實上，密碼學家早已提供支援兩個引數的 Hash 用法 —— HMAC，它比簡單粗暴的拼接靠譜得多。於是上述可改進成：

f(x) = hmac_sha256(x, "18bc0a594ab5f65d868820b238b696e391eabb962e1d15c2c474a04735c1128f")

HMAC 第二個引數本身就是 Key 的意思，所以用在這裡恰到好處。

當然，如果不保護好演算法以至於很容易洩露，那麼無論用奇怪組合還是這種方式，也都無濟於事。

保護演算法

很多人對演算法保護的並不好，甚至直接寫在了諸如 PHP 腳本里，只要有檔案讀取許可權，就能搞到演算法。

如果稍加隱蔽，例如通過本地服務，並控制好可執行程式的許可權，或許就更難找到了。

更進一步，可以單獨部署一臺伺服器，專門提供 HMAC 計算。通訊介面足夠簡單，簡單到幾乎不可能出漏洞；並且不開放其他任何服務，只能人工管理。這樣，被入侵的可能性就更小了。

當然，管理員人為洩密也是有可能的。如果要有一個終極方案，或許應該將計算交給一個獨立的硬體。這個硬體是個黑盒裝置，輸入明文、輸出 Hash 結果。演算法、金鑰這些都隱藏在其內部，拆開即自毀，這樣管理員也無從知曉。例如 HSM（hardware security module）裝置，就能將演算法以及金鑰進行物理隔離。

  password  |-------------------------|
----------->|         黑盒裝置         |
            | KEY = ***************** |
<-----------| hmac_sha(password, KEY) |
    hash    |-------------------------|

其他策略

如果演算法能保證 100% 不洩露，那麼加鹽、慢 Hash 這些都可以省略了，因為金鑰本身就足以對抗暴力破解。

當然現實中沒有絕對的事。如果演算法真的洩露了，現有資料的風險就大幅增加。所以本該有的策略還是得有，不能把風險全押在一個點上。

所以加鹽、慢 hash 這些仍然是需要的。最終方案應該類似這樣：

# 業務邏輯
hash = pbkdf(password, salt, cost...)
            ↓
######## 隱蔽的黑盒系統 ########
hash = hmac(hash, KEY)
##############################
            ↓
# 返回業務

這樣即使黑盒演算法遭到洩露，破解仍然需要很大成本。

破解成本

不過，奇怪演算法也有一個優勢，那就是破解軟體支援程度不高。

傳統的權威演算法，早已成為眾矢之的，有各種高度優化的破解方案，因此破解速度會非常快；而奇怪演算法，則不在優化範圍中，因此速度會慢的多。

所以，在權威演算法之後，可以考慮再混合少量奇怪演算法。這樣，就能再增加一層破解障礙。

總結

• 奇怪演算法是有意義的，但效果難以衡量

• HMAC 的金鑰需要足夠長、足夠隨機、足夠保密

• 保護好演算法，和保護資料庫同樣重要