📘[Django] 비밀번호 해싱 함수?

Django에는 비밀번호를 암호화 해주는 내장 함수가 있다!

우선 내가 사용 경험이 있는 make_password() 에 대해 정리한다!

make_password() 는 django에서 제공하는 내장 함수로, django에서 지원하는 해싱 알고리즘을 사용해서 문자열을 암호화 하는 함수다.

from django.contrib.auth.hashers import make_password 을 선언 후 사용할 수 있다.

from django.contrib.auth.hashers import make_password

hashed_password = make_password(password)

이런 식으로 password 라는 문자열을 make_password() 에 전달하면 암호화된 문자열로 변환되어 hashed_password 에 저장된다.

make_password() 코드

def make_password(password, salt=None, hasher="default"):
    """
    Turn a plain-text password into a hash for database storage

    Same as encode() but generate a new random salt. If password is None then
    return a concatenation of UNUSABLE_PASSWORD_PREFIX and a random string,
    which disallows logins. Additional random string reduces chances of gaining
    access to staff or superuser accounts. See ticket #20079 for more info.
    """
    if password is None:
        return UNUSABLE_PASSWORD_PREFIX + get_random_string(
            UNUSABLE_PASSWORD_SUFFIX_LENGTH
        )
    if not isinstance(password, (bytes, str)):
        raise TypeError(
            "Password must be a string or bytes, got %s." % type(password).__qualname__
        )
    hasher = get_hasher(hasher)
    salt = salt or hasher.salt()
    return hasher.encode(password, salt)

비밀번호를 암호화 하면, 로그인을 할 때, 어떻게 비밀번호를 확인할까?

이건 check_password() 메서드를 사용하면 해결할 수 있다!

이 메서드 또한 from django.contrib.auth.hashers import check_password 를 선언 후 사용할 수 있다!

make_password()는 어떤 알고리즘을 사용할까?

기능 구현을 위해 급한대로 make_password() 를 사용했는데, 최근에 이 메서드는 어떤 해싱 알고리즘을 사용할까?라는 생각이 들었다.

어떤 알고리즘을 사용하는지는 django의 공식 문서에서 확인할 수 있었다.

[공식 문서 발췌]

[영어]
make_password(password, salt=None, hasher='default')¶

Creates a hashed password in the format used by this application. 
It takes one mandatory argument: the password in plain-text (string or bytes). 
Optionally, you can provide a salt and a hashing algorithm to use, if you don’t want to use the defaults (first entry of PASSWORD_HASHERS setting). 
See **Included hashers** for the algorithm name of each hasher. 
If the password argument is None, an unusable password is returned (one that will never be accepted by check_password()).

[한국어]
make_password( 비밀번호 , 소금 = 없음 , 해시 = '기본값' ) ¶

이 애플리케이션에서 사용하는 형식으로 해시된 비밀번호를 생성합니다. 
하나의 필수 인수, 즉 일반 텍스트(문자열 또는 바이트)의 비밀번호를 사용합니다. 
선택적으로 기본값(PASSWORD_HASHERS 설정의 첫 번째 항목) 을 사용하지 않으려는 경우 사용할 솔트 및 해싱 알고리즘을 제공할 수 있습니다. 
각 해시의 알고리즘 이름은 **포함된 해시**를 참조하세요. 
비밀번호 인수가 이면 None사용할 수 없는 비밀번호가 반환됩니다( 에서는 절대 허용되지 않는 비밀번호 check_password()).

여기서 Included hashers 는 다음과 같았다.

The corresponding algorithm names are:
- pbkdf2_sha256
- pbkdf2_sha1
- argon2
- bcrypt_sha256
- bcrypt
- scrypt
- md5

이 중 default 알고리즘은 pbkdf2_sha256 알고리즘이다!

즉, make_password() 는 pbkdf2_sha256 알고리즘을 사용하는 메서드라는 것을 알 수 있었다!

pbkdf2_sha256 알고리즘?

우선 pbkdf2 란, Password-Based Key Derivation Function Version 2 의 약자다.

사용자의 패스워드를 기반으로 키(key)를 유도하기 위한 알고리즘 → 미국의 NIST에서 권장하는 알고리즘이라고 한다.

이는 사용자의 패스워드에 해시함수, Salt, 반복횟수(iteration) 등을 지정하여 패스워드에 대한 다이제스트(Digest) 를 생성한다.

• 다이제스트(Digest): 전체 메시지를 해시함수에 넣어 연산 후 생성된 작은 값
  • 계산이 빠름
  • 비가역적: “되돌릴 수 없는”
  • 예측 불가능

참고자료

[Password management in Django

Django documentation](https://docs.djangoproject.com/en/5.0/topics/auth/passwords/#django.contrib.auth.hashers.make_password)

make_password() github 소스코드

IT보안 - PBKDF2 알고리즘 이란 무엇인가

IT보안 - digest, 다이제스트 란 무엇인가