正确的加密存储密码防止被拖库(脱裤)保护用户登录安全

最新推荐文章于 2023-01-08 18:05:05 发布
最新推荐文章于 2023-01-08 18:05:05 发布
阅读量1.4k 收藏
点赞数
分类专栏: 迅睿cms 文章标签: 安全 密码 加盐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NCZB007/article/details/126337371
版权

在日常的开发中对密码的处理一般只是简单的做一下MD5,甚至有的系统直接存储用户的明文密码,如果一旦被黑客拖库,整个数据库被下载走,那黑客可以登录任意一个账户做出危险的操作,甚至无法弥补的事故,所以要正确的加密密码,保护用户账户的安全。

不加密或简单加密的设想

假如,我们将用户的密码不做加密或者简单的MD5存储在数据库中,有个黑客找到了导出数据库的漏洞,将整个数据库用户表导出下载,造成了拖库事故;MD5虽然不可逆,但是利用彩虹表就可以快速的查出明文密码,那么这个黑客可以登录任意用户的账户,甚至是管理员的账户,进行转账、篡改等进一步危险的动作,我们的损失将会进一步扩大。

如何阻止黑客获得账户明文密码

首先,任何算法都可以被破解,只是所需时间不同,我们只要让破解时间尽可能的长,使黑客放弃破解即可,有的同学可能知道在密码加密时可以采取加盐的方式,加盐就是在原有明文密码的基础上,添加一点“佐料”就是盐,其实就是增加一个随机字符串,使得普通有规律的明文密码变成完全随机无规律的密码,这样可以降低被彩虹表查到的可能,但是随着是计算机性能的提升,各大云计算随时可以申请和释放的计算能力,加盐以后我们还要进行迭代,例如MD5(MD5("password")),将计算结果多次加密。

青茶360
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全漏洞防御(1)如何防止拖库
cowbin2012的专栏
05-02 1万+
整个Web网站,从用户浏览器到后端数据库,要经历很多个环节,各个环节都有可能被黑客有机可乘,所以,要对每一个环节都做好防护。 首先,在代码开发时,要多多注意是否可能存在SQL注入、水平权限漏洞、垂直权限漏洞、XSS漏洞等。尽量避免在应用层被攻击。其次就是那些容易被忽略的环节,如数据库、Web服务器和人。 数据库安全防护 IP白名单 只给需要访问数据库的webserver机器授权IP地址...
防脱库策略
Wengzhengcun的博客
12-27 503
直接存储客户的密码,存在被脱库后用户在其他App的密码与此密码相同,则同样会被窃取账户资料的风险。解决办法:不直接存储用户的密码,不管是明文的还是加密密码,代之以用户账户+密码+秘钥生成的token,当用户登录时,输入密码,由后台服务器计算实时的token与数据库里的token是否一致,一致则认证通过,不一致则认证不通过。...
mysql脱裤工具_脱裤脚本【支持Mysql、Oracle】
weixin_30598353的博客
01-19 422
Class.forName(driver);Connection conn=DriverManager.getConnection(url, username, password);ResultSetMetaData rsmd= null;ResultSet rs=null;Statement stmt=conn.createStatement();out.println("Dumping dat...
谈谈“脱裤”这点事
caoz的梦呓
08-29 3957
别想歪,“脱裤”是一种俗称,其实是拖库,或者说,数据库被黑客整个拖下来。其实我在我们易灵微课的信息安全培训课程里提到过github敏感信息上传的风险,很不幸的是,同样的问...
如何防止数据库中的信息被“脱库”-笔记
jean博客
01-05 3541
我们可通过hash算法对用户密码加密之后再存储,不过最好选用较安全加密算法,比如SHA(MD5据说已被破解),但仅仅这样加密就行了吗? 用户信息“脱库”后,黑客利用字典攻击:维护一个常用密码的字典表,将字典中每个密码用hash算法计算hash值,如果用户“脱库”后的密文和hash值相等,基本就可以认为密文对对应的密码就是字典中的密码,为什么说是基本认为?因为可能会存在hash冲突。 针对字典攻击...
如何正确对用户密码进行加密
02-25
本文介绍了对密码哈希加密的基础知识,以及什么是正确加密方式。还介绍了常见的密码破解方法,给出了如何避免密码被破解的思路。相信读者阅读本文后,就会对密码加密有一个正确的认识,并对密码正确进行加密措施...
微信小程序 MD5加密登录密码详解及实例代码
08-31
主要介绍了微信小程序 MD5加密登录密码详解及实例代码的相关资料,这里附有实例代码,需要的朋友可以参考下
rsa登录密码非对称加密.zip
10-14
登录时登录密码进行前端加密,然后传递到后端
php用户密码加密算法分析【Discuz加密算法】
10-21
主要介绍了php用户密码加密算法,较为详细的分析了Discuz加密算法的原理,并结合实例形式对比了.net算法的实现方法总结了php进行用户加密的流程与实现方法,需要的朋友可以参考下
即使被拖库,也可以保证密码不泄露(一种安全加密方案)
HQ的专栏
01-11 2954
微信扫一扫 作者:CoderZh  微信关注:hacker-thinking (一个程序员的思考)  本文出处:http://blog.coderzh.com/2016/01/10/a-password-security-design-example/  文章版权归本人所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
jsp数据库脱裤脚本,脱各种数据库
04-21
jsp数据库脱裤脚本,脱各种数据库
打开脱裤后的数据库文件
08-14
打开脱裤后的数据库文件,打开之前尽量先了解什么格式
SQL注入到脱裤
09-11
详细描述如何利用sql漏洞,实现手工注入
厉害了黑科技,动态安全下的防拖库原来可以这么简单!
趣味科技v
10-20 1350
9月28日,中国高校数据泄密违法处罚第一案诞生——国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4353余名学生身份信息已经造成泄露。据悉,该校招生信息管理系统存在越权漏洞、后台登录密码弱口令、重要数据无备份、无加密等多处疏漏,被犯罪分子通过拖库、刷库等不法攻击行为窃取机密数据。 这是中国高校第一案,但绝对不会是最后一案。安全分析机构Risk Based
为什么我的网站会被拖库
weixin_35755188的博客
01-08 103
当攻击者在互联网上搜索可以攻击的网站时,他们可能会使用一种称为“数据库拖拽攻击”的技术。这种攻击使用特定的软件来搜索数据库,并将数据复制到另一个位置。如果攻击者发现您的网站存在安全漏洞,他们可能会拖动您的数据库,并将其用于恶意目的。 要防止您的网站被拖拽,您应该定期执行以下操作: 安装安全插件,以防止攻击者访问您的网站。 使用强密码并定期更改密码。 安装数据库备份插件,以防止您的数据丢失。 ...
【玩转ms17-010】mysql数据库-脱裤实践
梦想专栏
08-08 1705
一、背景 学习了两周的msf 还没怎么实战过,有点手痒,顺带手上任务差不多完成了,就借此机会去实践一把! 二、上手 1、指定网段扫描是否存在ms17-010漏洞 1、Use auxiliary/scanner/smb/smb_ms17_0102、Set rhosts 192.168.1.1-2553、Set threads 104、run还真有那么几台机器没打补丁。哈哈哈 盘他...
我就是要用MD5!不用不行!那么,怎么防止拖库后泄露用户密码
accenturejack的博客
10-22 3001
最近(2015年10月20日前后)某邮箱系统被曝“泄露”了上亿用户数据,包括密码、密保问题等。无论是确有安全漏洞导致被“拖库”,还是有心人利用“撞库”的方法获得的用户数据,从留出的数据来看,用户的密码、密保等信息都还是使用的MD5 Hash摘要进行存储。 即便是已有组织早有警告MD5已经不再安全,仍然有浩若烟海的大小站点在使用MD5 Hash作为密码信息的存储手段。随手搜索一下,我们就可以发现,网...
拖库”防不胜防,如何早做预防?
weixin_33757609的博客
09-11 467
近期有消息爆出某酒店数据库被拖库,数据主要包括注册资料、酒店入住登记信息以及开房记录。 此次事件涉及用户信息十分敏感,后续连串反应将造成的损失难以估计。我们在思考如何保护自己的信息安全同时,更要思考企业如何保证信息安全,做好安全加固,避免千丈之堤,溃于蚁穴。 信息泄露起因 该酒店信息泄露事件,起因疑似该公司程序员将数据库连接方式上传至 github ...
mysql 脱裤_mysql 脱裤(脱库)通用脚本
weixin_39987211的博客
01-18 617
TK:全面解密脱裤门内幕 --- hExIe Security Team...Mysql Database on Tables to Txt...This is a Php Example.#_E-mail:[email protected] #_Author:HYrz--------------------------------------------------------Start M...
golang实现简单用户密码登录并加密储存功能
最新发布
05-28
下面是一个示例代码,用于演示如何在golang中实现基本的用户密码登录和加密储存功能: ```go package main import ( "fmt" "golang.org/x/crypto/bcrypt" ) var users = map[string]string{ "alice": "123456...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值