密码加盐原理及其实现

最新推荐文章于 2024-09-23 22:06:50 发布
最新推荐文章于 2024-09-23 22:06:50 发布
阅读量1.3k 收藏 14
点赞数 22
文章标签: rpa 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karka_/article/details/137634805
版权

目录

1. 背景介绍

2. MD5加密算法

2.1 MD5算法的介绍

2.2 MD5算法的缺点

3. 加盐算法

3.1 什么是加盐算法

3.2 加盐算法的演示

4. 总结

1. 背景介绍

加密密码是现代计算机系统中非常重要的一环,其 主要目的是保护用户的隐私和数据安全 。在不加密密码的情况下,
用户的账户和密码等信息会以明文的形式保存在计算机系统中 ,一旦这些信息被泄露,用户的隐私和数据就会面临很大的风险。

为了解决这个问题,计算机科学家们研究出了各种加密算法,将用户的密码等信息进行加密存储,提高用户的隐私和数据安全。其中,哈希算法是常用的一种加密算法,它将用户的密码等信息进行哈希运算,生成一串密文,然后将密文存储在数据库中。当用户登录时,系统会将用户输入的密码进行哈希运算,然后与数据库中的密文进行比对,如果一致,则表示用户身份验证通过,否则表示密码错误。

然而,即使使用哈希算法进行加密,也并不能完全保证密码的安全性。因为哈希算法存在一些安全漏洞,例如MD5算法就是一种典型的利用哈希算法进行加密的方法。

2. MD5加密算法

2.1 MD5算法的介绍

MD5(Message-Digest Algorithm 5)是一种常用的哈希算法,它将任意长度的消息压缩成一个128位的消息摘要,MD5的实现过程如下:

  1. 填充:将消息进行填充,使其长度是512位的倍数,填充的方式是在消息末尾加上一个1和若干个0,直到满足条件。

  2. 初始化:将4个32位寄存器A、B、C、D初始化为固定的常数。

  3. 处理消息:将每个512位的消息块进行处理,处理过程包括4个轮次,每个轮次处理16次,每次处理32位。

  4. 输出:将最后一个处理完的消息块的摘要输出,即为MD5摘要。

在Java中的Spring框架中,提供了将消息压缩成MD5消息摘要的方法,我们需要调用DigestUtils.md5DigestAsHex(byte[]
bytes)方法,在调用的过程中我们会发现,对于一个同样的数,所生成的MD5方法总是相同的,如下所示

public class Test {
    public static void main(String[] args) {
        String input1=DigestUtils.md5DigestAsHex("123456".getBytes());
        String input2=DigestUtils.md5DigestAsHex("123456".getBytes());
        System.out.println(input1);
        System.out.println(input2);
    }
}

2.2 MD5算法的缺点

对于123456而言,其经过MD5加密后输出的结果就是e10adc3949ba59abbe56e057f20f883e,这个值是固定的,即
每个消息都有其对应的MD5加密后的密码, 虽然说MD5算法是不可逆算法,即不可通过结果反推出原来,但是MD5算法存在的缺点在于其安全性太低。

对于想要破解MD5算法的人,他只需要准备一张 彩虹表, 彩虹表即一种密码破解技术,其基本思想是 预先计算出所有可能的输入和输出组合的哈希值
,然后存储在一个巨大的表格中,以便后续直接查找,因此MD5的安全性是比较低的,其关键在于随机性太低,于是密码加盐算法就诞生了。

3. 加盐算法

3.1 什么是加盐算法

密码加盐是一种增加密码安全性的技术,其主要思想是在密码加密的过程中,为密码添加一些额外的随机字符串或固定字符串,以增加密码的随机性和复杂性,从而提高密码的安全性。

密码加盐往往要生成一个随机数,然后将盐值和密码进行组合,再进行哈希运算。这样生成的密码哈希值就不仅取决于密码本身,还受到盐值的影响,攻击者无法通过简单的彩虹表等方式来破解密码。

例如:假设用户的密码是"password",盐值为"ilovecoding",则密码加盐的过程如下:

  1. 将盐值和密码组合,得到"ilovecodingpassword"。

  2. 对"ilovecodingpassword"进行哈希运算,得到密码的哈希值。

  3. 将密码哈希值存储在数据库中。

将密码加盐后,即使两个用户的密码相同,由于盐的不同,其哈希值也会不同,从而增加了破解难度,提高了密码的安全性。

3.2 加盐算法的演示

加盐算法的实现思路有许多种,我这里仅用一种来进行介绍演示。

使用加盐加密的过程其实不难理解, 关键点在于,当我们将加盐后的密码存储到数据库中后,我们如何验证用户输入密码的正确与否。

我们可以规定以下规范,加密过程如下:

1. 用户输入密码 password

2. 随机生成一个盐值 salt

3.将盐值salt与密码password进行拼接,然后将拼接后的值进行md5加密,得到一个加盐后的密码 saltpassword

  1. 将生成的盐值salt与加盐后的密码saltpassword进行拼合,中间以某个特定的符号进行分隔,并存储到数据库中

解密过程如下:

1.用户输入密码

2.我们根据用户id从数据库中调取存储的密码,并调用split方法,输入特定的分隔符

3.我们取分隔出的结果的第一个元素,即得到存储用户密码时的盐值

4.将得到的盐值与用户输入的密码进行与上面相同的加密过程,得到一个临时密码tmpPassword

5.将临时密码tmpPassword与存储到数据库的中的密码进行比对,正确时才登陆。

密码加盐的关键点还是在于,我们如何进行加密,同时
更核心的地方在于我们如何进行解密,以下为代码演示,UUID.randomUUID()方法可以生成随机字符, 要注意去掉随机字符的分隔符

    //1. 加盐并生成密码
    public static String encrypt(String password){
        //盐值
        String salt= UUID.randomUUID().toString().replace("-",""); //32位盐值
        //生成加盐后密码
        String saltPassword= DigestUtils.md5DigestAsHex((salt+password).getBytes());
        //生成最终密码(保存到数据库中的密码,32位盐值+$+32位加盐之后的密码)
        String finalPassword=salt+"$"+saltPassword;
        return finalPassword;
    }

我们可以重载encrypt方法,参数列表改为传入密码与盐值的重载方法

  //2.生成加盐的密码(重载
    public static String encrypt(String password,String salt){
        //生成加盐密码
        String saltPassword= DigestUtils.md5DigestAsHex((salt+password).getBytes());
        //生成最终密码
        String finalPassword=salt+"$"+saltPassword;
        return finalPassword;
    }

解密过程代码如下:

    //3.验证密码
    //inputPassword为用户输入明文密码
    //finalPassword为数据库保存的密码
    public static boolean check(String inputPassword,String finalPassword){
        if(StringUtils.hasLength(inputPassword) && StringUtils.hasLength(finalPassword) && finalPassword.length()==65){
            //得到盐值
            String salt=finalPassword.split("\\$")[0];
            // 进行加密得到相应的密码
            String confirmPassword=encrypt(inputPassword,salt);
            //对比两个密码是否相同
            return confirmPassword.equals(finalPassword);
        }
        return false;
    }

4. 总结

虽然密码加盐可以有效提高密码的安全性,但也存在一些缺点和限制。

密码加盐的缺点如下:

  1. 需要额外的存储空间:密码加盐需要将盐值和哈希值一起存储在数据库中,这就需要更多的存储空间。

  2. 盐值的生成需要保证足够随机:盐值的生成需要保证足够随机和复杂,否则攻击者可能会推算出盐值,从而破解密码。

  3. 盐值的传输需要保证安全:盐值的传输也需要保证安全,否则攻击者可以通过截取盐值来破解密码。

  4. 盐值的使用需要考虑兼容性:如果不同的系统使用了不同的盐值生成方法,可能会导致兼容性问题。

  5. 可能仍然存在彩虹表攻击:虽然加盐可以防止彩虹表攻击,但仍然有可能被攻击者通过暴力破解法攻破密码。

总而言之,密码加盐是一种简单而有效的密码安全技术,通过增加密码的随机性和复杂性,可以有效防止密码破解攻击,提高密码的安全性。在实际应用中,我们应该采用密码加盐的方式来保护用户的密码,并且选择足够随机和复杂的盐值,以确保密码加盐的效果。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员桔子
关注
asp.net中使用cookie与md5加密实现记住密码功能的实现代码
10-27
例如,在存储密码时应当采取适当的措施,比如使用更安全的加密算法或在MD5的基础上加盐(salt),以防止彩虹表攻击。同时,在验证用户时,还应该考虑防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全问题。 ...
加密算法中的加盐
923723914
09-12 1461
在应用中,出于到安全的考虑和数据的保密,需要使用到加密算法,有时候为了让加密的的结果更加扑朔迷离神鬼莫测一些,常常会给被加密的数据加点“盐”。说白了,盐就是一串数字,完全是自己定义的,不多说,上实例。 /** * 获取当前用户盐 * * @param string $extraKey 额外密钥 * @return string */ ...
密码加密——加盐算法(两种方式)
m0_60354608的博客
04-12 1万+
密码安全是一件很重要的事情,所以一定要谨慎对待常见的主要是3种方式首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了简单来说,使用MD5就是将一串字符串通过某特定的算法来将其变成另一种形式,这样子就在外观上起到了加密的效果,但是由于背后的算法是固定的,所以每一个字符串都有固定的MD5格式密码破解程序可以是暴力破解:将得到的密码使用MD5转换成哈希,之后将得到的哈希与最初的哈希进行比较,要是匹配就说明已经破解了密码,但是这种方法的时间复杂度很高,会耗时很久。
什么是密码加盐
最新发布
m0_73639126的博客
09-23 233
保存用户密码的时候,一般不用明文,不然数据库数据泄漏的话,不就密码被别人看到了。所以我们要对用户传过来的密码进行加密
密码如何“加盐加密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7702
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密和解密吧~
加盐加密详解
qq_61925446的博客
10-11 2418
加盐加密就是后端在存储一个密码的时候,为了提高安全性,随机生成一个盐值(随机值),将盐值和密码进行有规则的结合,然后将结合过后的数据使用加密算法(一般是md5加密)再次加密,然后将再次加密后的数据和盐值按着一定规则组合起来存放在数据库的加密流程。流程图:普通的加密手段就是只使用md5加密或者不加密。如果发生数据库信息泄露,账户和密码基本上算是直接泄露。因为md5加密密码虽然不能被反推,但是md5加密后的密码都是唯一的,可以通过穷举的方式暴力破解。加盐算法就大大增加了黑客的破解成本。
为什么使用加密
weixin_44471490的博客
07-29 2376
什么是加密盐? 百度给出的解释是:加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。 无论何时只要口令改变,随机数就改变。 随机数以未加密的方式存放在口令文件中,这样每个人都可以读。 不再只是保存加密过的口令,而是先将口令和随机数连接起来然后一同加密加密后的结果放在口令文件中。 ps:这里的口令应该指的是password 加密盐的意义何在? 由于相同的密码经过哈希之后的密文是相同的,当存储用户密码的数据库泄露后,攻击者会很容易便能找到相同
密码原理与实践
10-24
在《密码原理与实践》这本书中,读者将了解到如何使用公钥密码体制实现安全的密钥交换,例如Diffie-Hellman协议及其扩展。此外,还会深入探讨数字签名的概念,比如RSA签名和ElGamal签名,它们提供了消息的不可否认...
密钥词组密码C#实现
05-08
- **加盐(Salt)**:在计算哈希之前,添加一个随机的、保密的字符串(盐),使得即使是相同的密钥词组也会生成不同的哈希值,增加破解难度。 - **迭代哈希**:多次应用哈希函数,增加计算成本,进一步提高安全性,...
java实现MD5加密.pdf
09-26
根据提供的文件信息,我们可以深入探讨MD5加密技术及其在Java中的实现细节。MD5(Message-Digest Algorithm 5)是一种广泛使用的散列算法,用于生成一个固定长度(通常是128位)的散列值或摘要。这种摘要通常用于...
salteen一个轻量级JS库实现使用盐salt来加密和解密值
08-10
Salteen库提供了一种简单的方式来实现加盐加密和解密。它的核心功能包括: - **加密(Encrypt)**:使用特定的盐对原始数据进行加密,生成加密后的密文。 - **解密(Decrypt)**:通过盐和密文还原原始数据。 - **...
加盐加密——保障你的数据安全
qq_54469537的博客
05-29 3811
什么是加盐加密?如何实现加盐加密的代码?
什么是密码加盐?
WillPan1234的博客
01-26 1万+
        密码加盐处理,这是常识。总的来讲,盐就是让你的密码更加的安全,更加的难以破解各个权限处理框架对此都有不同程度的支持,Shiro、SpringSecurity都有自家的解决方案.         那么什么是密码加盐 , 我们来逐步了解.        首先,我们进入测试网站 , 在密文输入框内输入e10adc3949ba59abbe56e057f20f883e如图. 点击查询,你会...
密码加盐
热门推荐
大鱼物联
06-17 2万+
加密算法进行反向查询地址http://www.cmd5.com/ 一、密码加盐 加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存放在口令文件中,这样每个人都可以读。不再只保存加密过的口令,而是先将口令和随机数连接起来然后一同加密加密后的结果放在口令文件中。...
关于盐加密
小羊咩咩的博客
07-02 3020
关于盐加密你需要了解的 目录什么是盐,盐加密是什么为什么要使用盐加密 什么是盐,盐加密是什么 盐:密码学中是指通过在密码任意固定位置插入特定字符串,让散列后的结果和使用原始密码的散列结果不相符,这样一个过程我们称之为“加盐”。 盐值 是一组随机的字符串,系统随机生成;Salt可以插在最前面、最后面,也可以插在中间,可分开插入也可倒序。 拓: 第一代密码 => 数据库明文存储,一旦数据库泄露,用户数据全部泄漏 第二代密码 => 数据库加密存储,典型加密算法有 MD5 和 SHA1 ,数据库存储
加密的了解和shiro认证-SSM
彭于晏的博客
08-26 812
Shiro提供了认证、授权、加密和会话管理功能;加盐加密是一种对系统登录口令的加密方式
密码加密——加盐后再进行md5加密
m0_74229735的博客
04-01 3439
首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了。MD5(Message Digest Algorithm 5)是一种常用的,用于将任意长度的数据进行不可逆的加密处理。MD5 可以将输入的任意长度的数据转换为一个128位(16字节)的哈希值,通常表示为32个十六进制数字。尽管 MD5 具有上述特点,但由于其安全性较低,已被证明容易受到)和的影响,因此在一些安全要求较高的场景中,已经不推荐单独使用 MD5 来加密密码等敏感信息。解释一下和。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值