用户密码加密存储十问十答,一文说透密码安全存储

最新推荐文章于 2024-11-26 11:09:58 发布
最新推荐文章于 2024-11-26 11:09:58 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: 编程知识 文章标签: 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dome_/article/details/94584298
版权

我们数据库的权限管理十分严格,敏感信息开发工程师都看不到,密码明文存储不行吗?

不行。存储在数据库的数据面临很多威胁,有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的,想做到百分百不被黑客窃取,非常困难。

如果密码是加密之后再存储,那么即便被拖库,黑客也难以获取用户的明文密码。可以说,密码加密存储是用户账户系统的底裤,它的重要性,相当于你独自出远门时缝在内衣里钱,虽然你用到他们的概率不大,但关键时刻他们能救命。

那用加密算法比如AES,把密码加密下再存,需要明文的时候我再解密。

不行。这涉及到怎么保存用来加密解密的密钥,虽然密钥一般跟用户信息分开存储,且业界也有一些成熟的、基于软件或硬件的密钥存储方案。但跟用户信息的保存一样,想要密钥百分百不泄露,不可能做到。用这种方式加密密码,能够降低黑客获取明文密码的概率。但密钥一旦泄露,用户的明文密码也就泄露了,不是一个好方法。

另外,用户账户系统不应该保存用户的明文密码,在用户忘记密码的时候,提供重置密码的功能而不是找回密码。

保存所有密码的HASH值,比如MD5。是不是就可以了?

不是所有的HASH算法都可以,准确讲应该是Cryptographic Hash。Cryptographic Hash具有如下几个特点:

  • 给定任意大小任意类型的输入,计算hash非常快;

  • 给定一个hash,没有办法计算得出该hash所对应的输入;

  • 对输入做很小改动,hash就会发生很大变化;

  • 没有办法计算得到两个hash相同的输入;

虽然不是为加密密码而设计,但其第2、3、4三个特性使得Cryptographic Hash非常适合用来加密用户密码。常见的Cryptographic Hash有MD5、SHA-1、SHA-2、SHA-3/Keccak、BLAKE2。

从1976年开始,业界开始使用Cryptographic Hash加密用户密码,最早见于Unix Crypt。但MD5、SHA-1已被破解,不适合再用来保存密码。

那我保存用户密码的SHA256值。

不行。黑客可以用查询表或彩虹表来破解用户密码。注意是破解密码不是破解sha256,能根据sha256破解密码的原因是,用户密码往往需要大脑记忆、手工输入,所以不会太复杂,往往具有有限的长度、确定的取值空间。

短的取值简单的

最低0.47元/天 解锁文章
密码学与加密算法详解
悦分享
08-14 3379
密码学(Cryptography)是提供信息安全和保护的科学。它在我们的数字世界中无处不在,当你打开网站时、发送电子邮件时、连接到 WiFi 网络时,使用账号密码登录 APP 时、使用二步认证验证码认证身份时,都有涉及到密码学相关技术。因此开发人员应该对密码学有基本的了解,以避免写出不安全的代码。至少也得知道如何使用密码算法和密码库,了解哈希、对称密码算法、非对称密码算法(cipher)与加密方案这些概念,知晓数字签名及其背后的密码系统和算法。
php 密码加密(password_hash)
技术的搬运工
03-14 1万+
只要不设置,它会自动创建安全的盐值。就像以上提及的,在 PHP 7.0 提供 salt选项会导致废弃(deprecation)警告。未来的 PHP 发行版里,手动提供盐值的功能可能会被删掉。注意,该常量会随着 PHP 加入更新更高强度的算法而改变。所以,使用此常量生成结果的长度将在未来有变化。因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。2、 在自己的服务器上做基准测试,调整 cost 参数直至函数时间开销小于 100 毫秒(milliseconds)。
php哈希算法,php-哪种哈希算法对密码最安全?
weixin_39984403的博客
03-13 194
根据http://php.net/manual/en/function.hash.php,有一个php哈希方法:hash().它支持以下所有方法,但我想知道,什么是密码哈希绝对最安全的方法.Results: (in microseconds)1. md4 5307.9122. md5 689...
种数据存储加密技术
最新发布
顺其自然~专栏
11-26 545
原理解析部署位数据库UDF(User Defined Function)用户自定义函数是在已有数据库功能的基础上扩展更丰富的业务需求,其原理是在数据库支持的形式上,通过定义函数名称及执行过程,实现自定义的处理逻辑。UDF用户自定义函数加密,是通过UDF接口实现数据在数据库内的加解密。应用场景UDF用户自定义函数加密,作为一种在数据库侧的高灵活加解密集成方式,适用于某些数据库需要定制加解密的场景,尤其是实现基于国密算法的数据加解密。优势1、扩展能力强。
sha1-哈希算法_MD5 vs SHA-1 vs SHA-2-这是最安全的加密哈希值,以及如何检查它们
cumian8165的博客
08-16 1742
sha1-哈希算法 什么是哈希函数? (What's a hash function?) A hash function takes an input value (for instance, a string) and returns a fixed-length value. An ideal hash function has the following properties: 哈希函数采用...
从古至今数据安全的守护者:哈希算法和加密方法的数据安全进化之旅
Hanko的专栏
06-09 1648
加密算法可以包括数据转换、替换、混淆、扩散和迭代等操作。设计时需要注意算法的复杂度和安全性,确保算法能够抵抗常见的攻击方式。
Mordern PHP 密码(使用哪种哈希密码最安全?)
大白菜啊
05-22 649
密码 随着在线攻击的增多、,密码安全越来越重要。因为重要的零售商被黑,你注销过多少张 信用卡?很多零售商因为没有使用最好的安全措施而沦为恶意黑客的攻击对象,PHP应 用一样,如果没有合适的预防措施,也会受到攻击。 存储用户密码的责任。不管应用是简单的游戏还是绝密商业文件的仓库,都要做到这一 其中一个重要的预防措施是保护密码。作为开发者,我们要担起安全管理、计算哈希和 点。用户把他们的信息托付给你,...
密码学:一文看懂初等数据加密一对称加密算法
Shujie
01-05 1472
我们都有使用密码保护私密信息的经历,甚至可以是习惯。我们往往不希望无关的人窥探我们的隐私,从孩童时代就知道用“密码日记本”记录自己的一些隐私。密码日记本无非是一个带锁的日记本。不管是读日记还是写日记都离不开这个密码。上述情形就好比我们应用黑匣子,需要读写操作,需要同一套密钥。写操作伴随加读操作伴随解密。加密和解密操作使用同一套密钥,这就是对称加密算法的核心。
加密算法的新发展-基于Pairing的密码技术(SM9算法)研究与应用
12-10
信息安全是现代社会不可或缺的重要组成部分,其中加密算法作为保障信息安全的核心技术,始终在不断的发展和完善中。SM9算法,作为一种基于双线性配对(Pairing)的密码技术,近年来在信息安全领域得到了广泛的关注和...
【SpringSecurity】BCrypt密码加密和解密 一文学会使用BCryptPasswordEncoder
热门推荐
m0_67390379的博客
07-31 1万+
深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。BCrypt就是一款加密工具,可以比较方便地实现数据的加密工作。例如,使用MD5加密,每次加密后的密文其实都是一样的,这样就方便了MD5通过大数据的方式进行破解。BCrypt生成的密文是60位的,而MD5的是32位的。...
常见安全算法
qq_35729168的博客
03-23 1366
本文整理了常见的安全算法,包括MD5、SHA、DES、AES、RSA等,并写了完整的工具类(Java 版),工具类包含测试。转自:http://www.jianshu.com/p/2196a601d444 一、数字摘要算法数字摘要也称为消息摘要,它是一个唯一对应一个消息或文本的固定长度的值,它由一个单向Hash函数对消息进行计算而产生。如果消息在传递的途中改变了,接收者通过对收到消息采用相同的Ha
用户密码到底要怎么加密存储
Java技术栈,分享最主流的Java技术
02-08 4884
Java技术栈www.javastack.cn优秀的Java技术公众号作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄...
PHP函数 “password_hash“ 哈希密码
ljh574649119的专栏
02-23 1168
需要注意的是,password_verify 函数的第一个参数是用户输入的密码,第二个参数是数据库中存储的哈希密码。值得注意的是,使用 password_hash 函数进行密码哈希处理时,PHP会自动为每个密码生成一个独一无二的盐值,这个盐值会与密码一起存储在哈希密码中,从而增加密码的安全性。在使用 "password_hash" 函数进行密码哈希处理时,我们不需要手动进行加盐操作,也不需要关心加盐的具体实现,PHP会自动完成这些工作,保证密码的安全性。// 存储哈希后的密码到数据库。
MySQL字段类型、密码
m0_63931604的博客
05-15 696
例如,char 非常适合存储密码的 MD5 值,因为这是一个定长的值。浮点型主要有 float,double 两个,浮点型在数据库中存放的是近似值,例如float(6,3),如果插入一个数123.45678,实际数据库里存的是123.457,但总个数还以实际为准,即6位,整数部分最大是3位。int(M)中的 M 代表最大显示宽度,并不是 int(1) 就不能存储数值10了,不管设定了显示宽度是多少个字符,int 都是占用4个字节,即int(5)和int(10)可存储的范围一样。
Windows密码凭证获取
2301_80361487的博客
07-05 1758
数据库,包括有关域用户,组和组成员身份的信息。文件,会提示文件被系统占用,所以常规的复制下载方法是无法获取到文件副本的,因此需要通过特殊方法来获取。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相。,一般翻译做散列,或音译为哈希,所谓哈希,就是使用一种加密函数进行计算后的结果。数据库用户密码跟其它数据库用户密码一样,在应用系统代码中都是以明文出现的,在获取文件。哈希是由用户输入的密码本地计算得出的,所以在这个步骤中,只要能提供正确的 NTLM。
服务器等保测评密码策略配置
weixin_43258559的博客
04-10 807
例如,如果您希望系统记住最近的5个密码,则可以将 remember 设置为5。可以根据需要修改这些参数的值,并确保密码策略符合安全要求。修改完/etc/security/pwquality.conf后,系统会自动应用新的密码策略。修改完/etc/security/pwquality.conf后,系统会自动应用新的密码策略。例如,如果您希望系统记住最近的5个密码,则可以将 remember 设置为5。在 pam_unix.so 行中添加 remember 选项,并指定您要记住的密码数量。
password_hash加密
weixin_30821731的博客
03-02 420
每次执行 password_hash('123456', PASSWORD_BCRYPT) 语句后,得到哈希值都不一样! 给密码做哈希之前,会先加入一个随机子串,因为加入的随机子串每次是不一样的,所以得到的哈希值自然就不一样了。这就让在不同的服务中使用同一个密码用户,他的密码的安全性变高了。这个随机子串就叫「盐值」,加入盐值的过程就是「加盐处理」。 <?php $passwordHash ...
密码学基础:一文掌握多种加密算法与技术
资源摘要信息:"密码学是计算机科学的一个分支,涉及到信息的加密和解密,以便在存储和传输过程中保护信息的机密性和完整性。本资源包含了多个密码学算法的JavaScript实现,涵盖了从基础到相对复杂的加密技术。作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值