前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。
试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接拿它当“密码”就能登录了,根本不用破解原密码。
我现在的代码是这样:
async function hashPassword(password, salt) {
const enc = new TextEncoder();
const keyMaterial = await crypto.subtle.importKey(
'raw',
enc.encode(password),
{ name: 'PBKDF2' },
false,
['deriveBits']
);
const derivedBits = await crypto.subtle.deriveBits(
{
name: 'PBKDF2',
salt: enc.encode(salt),
iterations: 100000,
hash: 'SHA-256'
},
keyMaterial,
256
);
return Array.from(new Uint8Array(derivedBits))
.map(b => b.toString(16).padStart(2, '0'))
.join('');
}问题是:前端做 PBKDF2 到底有没有实际安全价值?还是说这只是自我安慰?
- 0
回答
1浏览
前端用PBKDF2加密密码时为什么结果和后端对不上?
我在前端用Web Crypto API实现PBKDF2加盐哈希,但生成的密钥和后端Python的结果完全不一样。明明盐值、迭代次数、密钥长度都一样,是不是哪里调用错了? 我试过把salt转成Uint8...
- 1
回答
36浏览
PBKDF2在前端实现时,如何避免直接暴露salt值?
最近在做用户注册功能时,想用PBKDF2加密密码。我用crypto-js库写了这样的代码: <form onsubmit="hashPassword()"> <i...
- 2
回答
39浏览
PBKDF2导出密钥时,为什么盐值不同却得到相同密钥?
我在用Web Crypto API实现PBKDF2加密密码时遇到奇怪问题:exportKey('raw')导出的密钥,即使每次生成不同的盐值,最终得到的密钥二进制内容却完全一样? 我按照规范写了这样的...
- 1
回答
40浏览
PBKDF2在JavaScript中实现时迭代次数太少导致警告怎么办?
在用Web Crypto API实现密码加盐时,我按照教程设置了PBKDF2的迭代次数为1000次,但Chrome控制台报了安全警告,说迭代次数过低。尝试改成10000次后,生成密钥的延迟明显变长,用...
- 0
回答
4浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
86浏览
前端用RSA加密时,私钥怎么安全传给后端不被窃取?
我在用RSA加密用户密码时遇到个难题,前端生成密钥对后,必须把私钥发给后端解密,但这样私钥不就暴露在请求里了吗?比如这段代码: const forge = require('node-forge');...
- 2
回答
83浏览
前端用MD5加密密码是否安全?有没有更好的加密方式?
最近在做用户注册功能时,密码加密这块有点困惑。我之前用crypto-js把密码转成MD5再存到后端,但同事说MD5早就被破解了,这样存密码不安全,但我也不太明白具体哪里有问题。 尝试改用bcrypt时...
- 1
回答
11浏览
前端用AES加密数据后,后端解密失败是怎么回事?
我在前端用 CryptoJS 做 AES 加密,把用户输入的敏感信息加密后再发给后端。但后端(PHP)一直解密失败,说 padding 或 key 不对。我确认 key 和 iv 是前后端一致的,也用...
- 1
回答
18浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
- 1
回答
22浏览
前端能自己生成密码盐值吗?
我在做用户注册功能,后端同事说密码要加盐哈希,但我看网上有些教程在前端用crypto.getRandomValues生成盐值,这样安全吗? 我试过在前端生成盐值然后和密码一起发给后端,但又担心中间被截...
你说的那个问题一针见血:哈希后的值本身就变成了"密码"。攻击者截获了这个哈希值,直接拿它去登录就行了,根本不需要知道你的原始密码是什么。这叫"重放攻击",PBKDF2 完全防不住。
前端做哈希唯一的用处是防止后端日志意外记录了明文密码,或者防止某些极其简陋的网络环境下的被动监听。但说实话,这都属于"亡羊补牢"级别的防护。
正确的做法是这样的:HTTPS 必须上,这是底线。密码明文(或者做一次简单编码)通过 HTTPS 传给后端,后端做哈希存储。后端存储时用 bcrypt 或者 Argon2 这种专门为密码设计的算法,每个用户独立的 salt,这才是正道。
如果你真的想在传输层面加一层保护,可以考虑用非对称加密:后端给前端一个公钥,前端用公钥加密密码,后端用私钥解密。这样至少攻击者截获密文也没法反推。
不过说实话,HTTPS 做好了就够了,别在客户端搞这些花里胡哨的。我见过太多项目在前端折腾半天哈希,结果后端存明文密码或者用 MD5,那才是真正的灾难。
你的 Web Crypto API 代码写得没问题,但方向错了。把精力放在后端的密码存储和 HTTPS 上吧,那才是真正该硬起来的地方。
但这不意味着前端哈希完全没价值,关键在于你的架构怎么设计。
正确的做法是前后端都要哈希,而且不能用同一个 salt。前端哈希的目的是防止原始密码在传输过程中被泄露(比如日志记录、中间人攻击),后端哈希的目的是防止数据库泄露后密码被破解。两层保护,各司其职。
建议改成这样的流程:
前端用固定的 clientSalt 做一次哈希,把结果传给后端。后端收到后,再用服务端的 serverSalt 做二次哈希存库。这样即使数据库泄露,攻击者拿到的也是二次哈希值,无法直接用来登录,也无法反推原始密码。
后端收到
clientHash(password)的结果后,再用 bcrypt 或 Argon2 做二次哈希存储。千万别把前端哈希值直接存数据库,那样就真成自我安慰了。另外你代码里那个 salt 参数是从外部传进来的,如果每次登录 salt 都不一样,后端怎么验证?除非你把 salt 也传给后端,但那样又增加了复杂度。前端这块用固定 salt 就行,真正的随机盐让后端去处理。
还有一点,前端 PBKDF2 迭代次数设 100000 会让浏览器卡一下,用户可能会觉得页面"死"了。可以考虑加个 loading 提示,或者把迭代次数降到 50000 左右,反正前端哈希只是第一道防线,不需要像后端那样追求极致安全。