为什么 bcrypt 有效

单向哈希函数接受密码并生成固定长度的摘要。给定摘要，无法恢复原始密码。不是“难以恢复”，而是无法逆向。该函数只能单向运行。

凭证存储所需的三项属性：

1. 单向性（原像抗性）。 给定 hash(password)，没有任何算法能比暴力破解更快地恢复出 password。bcrypt、scrypt 和 argon2 均满足此属性。

2. 加盐。 在密码哈希前先附加一个随机值。相同密码搭配不同盐值会生成不同哈希。目的：抵御彩虹表（预计算哈希字典）。无盐时：攻击者只需计算一次 hash('password123')，即可同时检查全部 100 万用户；加盐后：即使密码相同，每位用户仍拥有唯一哈希。

3. 设计上缓慢。 bcrypt 接受工作因子。工作因子越高，每次哈希所需的迭代次数和计算时间越多。登录时：一次哈希耗时 300ms，可接受；暴力破解时：每次尝试耗时 300ms，10 亿次尝试需 9.5 年，对攻击者而言不可接受。缓慢是特性而非缺陷。

import bcrypt

# 存储：使用加盐的单向哈希
def store_password(plaintext: str) -> bytes:
return bcrypt.hashpw(plaintext.encode(), bcrypt.gensalt(rounds=12))

# 验证：对候选密码进行哈希并比较摘要
def verify_password(plaintext: str, stored_hash: bytes) -> bool:
return bcrypt.checkpw(plaintext.encode(), stored_hash)

# 绝不存储：明文密码
# 永远无法恢复：哈希后的明文
# 密码重置，而非密码提醒

权衡

单向哈希使得密码恢复成为不可能。忘记密码的用户无法取回原密码。密码提醒邮件无法存在。用户体验因此改变：“忘记密码？重置它。”这不是体验降级，而是安全边界。无法恢复密码的系统，也无法泄露密码。

数据库泄露暴露 bcrypt 哈希：所有哈希可见，但密码不可见。攻击者必须逐个暴力破解每个哈希，每次尝试耗时 300 毫秒，且每用户盐值可抵御预计算表攻击。而暴露明文密码的泄露：将导致即时全面暴露。

强加密并不足够

安全审计发现一个凭证存储系统。密码使用 AES-256-CBC 加密并配合服务器端密钥存储。审计报告将其标记为 Glass Safe 缺陷。

工程团队回应：“AES-256 是目前最强的对称加密算法。密钥存储在硬件安全模块中。任何攻击者都无法解密这些密码。”