為什麼 bcrypt 有效

單向雜湊函式接受密碼並產生固定長度的摘要。給定摘要後，無法還原原始密碼。不是「難以還原」，而是無法反向運算。函式只能單向執行。

儲存憑證所需的三個屬性：

1. 單向（原像抗性）。 給定 hash(password)，沒有任何演算法能比暴力破解更快地還原 password。bcrypt、scrypt 與 argon2 皆滿足此屬性。

2. 鹽值。 在密碼雜湊前先附加一個隨機值。同樣的密碼搭配不同的鹽值，會產生不同的雜湊值。目的：防禦彩虹表（預先計算的雜湊字典）。若無鹽值：攻擊者只需計算一次 hash('password123')，即可同時檢查所有一百萬名使用者。若有鹽值：即使密碼相同，每位使用者仍擁有獨一無二的雜湊值。

3. 刻意設計為緩慢。 bcrypt 接受工作因子。工作因子越高，每次雜湊所需的迭代次數與運算時間就越多。登入時：一次雜湊只需 300 毫秒，可接受。暴力破解時：每次嘗試需 300 毫秒。若需十億次嘗試，則每組密碼需花費 9.5 年。對攻擊者而言不可行。此緩慢特性是一項功能，而非缺陷。

import bcrypt

# 儲存：使用鹽值進行單向雜湊
def store_password(plaintext: str) -> bytes:
return bcrypt.hashpw(plaintext.encode(), bcrypt.gensalt(rounds=12))

# 驗證：對候選密碼進行雜湊並比較摘要
def verify_password(plaintext: str, stored_hash: bytes) -> bool:
return bcrypt.checkpw(plaintext.encode(), stored_hash)

# 永不儲存：明文密碼
# 永遠無法還原：從雜湊值取得明文
# 密碼重設，而非密碼提醒

權衡

單向雜湊使得密碼還原變得不可能。忘記密碼的使用者無法取回原始密碼。系統無法發送「密碼提醒」郵件。使用者體驗因此改變：「忘記密碼？請重設。」這不是功能退化，而是安全邊界。無法還原密碼的系統，也就無法洩漏密碼。

資料庫外洩若暴露 bcrypt 雜湊值：所有雜湊值可見，但沒有任何密碼可見。攻擊者必須針對每個雜湊值進行暴力破解，每次嘗試需 300 毫秒，且因每位使用者使用獨立鹽值而無法使用預先計算的彩虹表。若外洩的是明文密碼：則會造成立即且全面的暴露。

強加密仍不足

某安全稽核發現一組憑證儲存系統。密碼使用 AES-256-CBC 加密，並搭配伺服器端金鑰。稽核報告將此標記為 Glass Safe 缺陷。

工程團隊回應：「AES-256 是目前最強的對稱式加密演算法。金鑰存放在硬體安全模組（HSM）中，任何攻擊者都無法解密這些密碼。」