Как вы хешируете пароли и используете модуль crypto?

Question

Accepted Answer

Встроенный модуль Node.js **`crypto`** предоставляет криптографические функции: хеширование, шифрование, генерацию случайных значений и HMAC. Наиболее важное практическое применение — **хеширование паролей** — имеет критическое правило: никогда не используйте быстрые, универсальные хеши (MD5/SHA-256) для паролей.

## Хеширование паролей: используйте МЕДЛЕННЫЙ алгоритм с солью

```js
import { scrypt, randomBytes, timingSafeEqual } from "crypto";
import { promisify } from "util";
const scryptAsync = promisify(scrypt);

// HASH a password (on signup)
async function hashPassword(password) {
  const salt = randomBytes(16).toString("hex");          // unique random salt per user
  const derived = await scryptAsync(password, salt, 64); // slow, salted derivation
  return `${salt}:${derived.toString("hex")}`;            // store salt + hash together
}

// VERIFY a password (on login)
async function verify(password, stored) {
  const [salt, hash] = stored.split(":");
  const derived = await scryptAsync(password, salt, 64);
  const hashBuf = Buffer.from(hash, "hex");
  return timingSafeEqual(hashBuf, derived); // constant-time compare (avoid timing attacks)
}
```

Ключевые моменты: **`scrypt`** (или bcrypt/argon2) намеренно медленный, чтобы противостоять brute-force атакам; **уникальная соль для каждого пароля** противодействует радужным таблицам; и **`timingSafeEqual`** сравнивает хеши за постоянное время, чтобы предотвратить timing-атаки.

## Почему НЕ MD5/SHA-256 для паролей

```js
// ❌ NEVER do this — SHA/MD5 are FAST, so attackers can guess billions/sec
crypto.createHash("sha256").update(password).digest("hex");
```

Быстрые хеши подходят для контрольных сумм файлов, но катастрофичны для паролей — их скорость — это именно то, что делает их уязвимыми для brute-force. (На практике библиотеки типа **bcrypt** или **argon2** часто предпочитаются вместо raw scrypt для удобства.)

## Другие применения crypto

```js
import crypto from "crypto";

crypto.randomBytes(32).toString("hex");        // secure random tokens (session ids, CSRF)
crypto.randomUUID();                            // a secure UUID v4

// HMAC — verify integrity/authenticity (e.g. webhook signatures)
crypto.createHmac("sha256", secret).update(payload).digest("hex");

// hashing for NON-secret integrity (file checksums) — SHA is fine here
crypto.createHash("sha256").update(fileBuffer).digest("hex");
```

## Почему это важно

Правильное хранение паролей — это критическая ответственность в области безопасности, и распространённая опасная ошибка — использовать быстрые хеши или пропускать соль.

Модуль `crypto` (или высокоуровневые bcrypt/argon2) предоставляет правильные примитивы: медленное хеширование с солью для паролей, сравнение за постоянное время, безопасную генерацию случайных значений для токенов и HMAC для проверки целостности (например, сигнатур вебхуков).

Понимание *почему* пароли требуют медленного, солёного, постоянно-временного обращения — и что быстрые хеши только для незащищённых контрольных сумм — необходимо для создания аутентификации, которая не подвергает пользователей краже учётных данных.