คุณ hash รหัสผ่านและใช้ crypto module อย่างไร?

Question

Accepted Answer

Module **`crypto`** ที่มากับ Node มีฟังก์ชันเข้ารหัส: การ hash, การเข้ารหัส, การสร้างค่าสุ่ม และ HMAC การใช้งานเชิงปฏิบัติที่สำคัญที่สุด — **การ hash รหัสผ่าน** — มีกฎสำคัญคือ อย่าใช้ hash ทั่วไปที่เร็ว (MD5/SHA-256) สำหรับรหัสผ่านเด็ดขาด

## การ hash รหัสผ่าน: ใช้อัลกอริทึมที่ช้าและมี salt

```js
import { scrypt, randomBytes, timingSafeEqual } from "crypto";
import { promisify } from "util";
const scryptAsync = promisify(scrypt);

// HASH a password (on signup)
async function hashPassword(password) {
  const salt = randomBytes(16).toString("hex");          // unique random salt per user
  const derived = await scryptAsync(password, salt, 64); // slow, salted derivation
  return `${salt}:${derived.toString("hex")}`;            // store salt + hash together
}

// VERIFY a password (on login)
async function verify(password, stored) {
  const [salt, hash] = stored.split(":");
  const derived = await scryptAsync(password, salt, 64);
  const hashBuf = Buffer.from(hash, "hex");
  return timingSafeEqual(hashBuf, derived); // constant-time compare (avoid timing attacks)
}
```

ประเด็นสำคัญ: **`scrypt`** (หรือ bcrypt/argon2) *ช้าโดยตั้งใจ* เพื่อต้านการ brute-force; **salt ที่ไม่ซ้ำกันต่อรหัสผ่าน** เอาชนะ rainbow table; และ **`timingSafeEqual`** เปรียบเทียบ hash ในเวลาคงที่เพื่อป้องกัน timing attack

## ทำไมจึงไม่ใช้ MD5/SHA-256 สำหรับรหัสผ่าน

```js
// ❌ NEVER do this — SHA/MD5 are FAST, so attackers can guess billions/sec
crypto.createHash("sha256").update(password).digest("hex");
```

Hash ที่เร็วเหมาะสำหรับ checksum ของไฟล์ แต่เป็นหายนะสำหรับรหัสผ่าน — ความเร็วของมันคือสิ่งที่ทำให้ brute-force ได้พอดี (ในทางปฏิบัติ library อย่าง **bcrypt** หรือ **argon2** มักถูกเลือกใช้มากกว่า scrypt ดิบเพราะใช้งานง่ายกว่า)

## การใช้ crypto อื่น ๆ

```js
import crypto from "crypto";

crypto.randomBytes(32).toString("hex");        // secure random tokens (session ids, CSRF)
crypto.randomUUID();                            // a secure UUID v4

// HMAC — verify integrity/authenticity (e.g. webhook signatures)
crypto.createHmac("sha256", secret).update(payload).digest("hex");

// hashing for NON-secret integrity (file checksums) — SHA is fine here
crypto.createHash("sha256").update(fileBuffer).digest("hex");
```

## ทำไมจึงสำคัญ

การจัดเก็บรหัสผ่านให้ถูกต้องเป็นความรับผิดชอบด้านความปลอดภัยที่สำคัญ และเป็นความผิดพลาดที่พบบ่อยและอันตรายในการใช้ hash ที่เร็วหรือข้ามการ salt

Module `crypto` (หรือ bcrypt/argon2 ระดับสูงกว่า) มี primitive ที่ถูกต้อง: การ hash แบบช้าและมี salt สำหรับรหัสผ่าน, การเปรียบเทียบในเวลาคงที่, การสร้างค่าสุ่มที่ปลอดภัยสำหรับ token และ HMAC สำหรับการตรวจสอบความถูกต้อง (เช่น webhook signature)

การเข้าใจ *ว่าทำไม* รหัสผ่านจึงต้องการการจัดการแบบช้า มี salt และเวลาคงที่ — และว่า hash ที่เร็วใช้ได้เฉพาะ checksum ที่ไม่ใช่ความลับ — เป็นสิ่งจำเป็นต่อการสร้างการยืนยันตัวตนที่ไม่เปิดช่องให้ผู้ใช้ถูกขโมย credential