消息摘要算法与密码加密

在Spring Boot项目中, 提供了DigestUtils工具类, 此工具类的方法可以轻松实现" 使用MD5算法 "进行运算, 从而, 可以实现将原始密码进行加密, 得到一个加密后的结果.

import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.util.DigestUtils;

@Slf4j
public class DigestTests {
    @Test
    public void testEncode() {
        String rawPassword = "123456";
        String encodedPassword = DigestUtils
                .md5DigestAsHex(rawPassword.getBytes());
        log.debug("原始密码={}，MD5运算结果={}", rawPassword, encodedPassword);
    }
}

首先, 对密码进行加密后, 再存储, 是非常有必要的! 并且, 主要的防范对象通常是内部员工!
需要注意, 对密码进行加密处理时, 不可以使用加密算法! 因为, 所有的加密算法都是可以加密, 也可以解密的! 加密算法的核心价值在于保证数据在传输过程中是安全的, 并不保证数据存储的安全!
对需要存储的密码进行加密处理时, 应该使用消息摘要算法, 其本质是一种哈希算法, 是不可逆向运算的!

另外,消息摘要算法的典型特征:

• 消息相同, 则摘要相同
• 无论消息长度, 摘要的长度是固定的(同一种算法)
• 消息不同, 则摘要几乎不会相同

常见的消息摘要算法有 :

• MD系列: MD2 (128bit) ,MD4 (128bit) , MD5 (128bit)
• SHA家族 : SHA-1（160bit）、SHA-256（256bit）、SHA-384（384bit）、SHA-512（512bit)
  以MD5为例, 其运算结果时128个二进制组成, 通常, 会转换成十六进制数来表示, 则是32位长度的十六进制数.
  所以, MD5算法的运算结果的种类有2的128次方种, 即 : 340282366920938463463374607431768211456
  由于消息算法在运算过程中会丢失一部分的数据, 所以, 消息算法都是不可逆的!
  使用消息摘要算法处理密码加密时, 任何" 破解 “都不会是 " 根据密文计算得到原文的 “的!
  在网络上, 有一些平台记录了简单的明文密文的对应关系的数据库, 以实现” 根据密文查询出原文 " 的效果, 但是, 只有原文足够复杂(8位长度以上) , 这些平台不可能收录其对应关系!
  为了保证密码原文的复杂性, 应该使用” 盐 ", 它将作为被运算数据的组件部分之一, 例如 :

String rawPassword = "123456";
String salt = "jhfdiu78543hjfdo8";
String encodedPassword = DigestUtils.md5DigestAsHex((rawPassword + salt).getBytes());

即使原密码非常简单, 但是, 对于运算过程而言, 真正的原始数据已经变成了123456jhfdiu78543hjfdo8,这样的原文与其密文的对应关系是不可能被各平台收录的!
所以, 为了保障用户密码的安全, 可行的做法有 :

• 要求用户使用强度更高的原始密码
  • 要求使用较长的密码
  • 要求密码中包含的字符种类更多样化
• 加盐
  • 理论上, 盐值越复杂越好, 但是, 也没有必要过度复杂
  • 盐值的具体使用也没有规定, 原则上, 只要能使得被运算数据变复杂即可
• 循环加盐
  • 将第1次运算得到的密文, 作为原文, 进行第2次的运算, 如此循环多次
• 使用位长更长的消息摘要算法
• 综合使用以上各种做法