我就是要用MD5!不用不行!那么,怎么防止被拖库后泄露用户密码?

最新推荐文章于 2024-05-22 20:28:07 发布
最新推荐文章于 2024-05-22 20:28:07 发布
阅读量3k 收藏 1
点赞数
分类专栏: 密码 文章标签: md5 密码 hash 撞库 拖库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/accenturejack/article/details/49331781
版权
本文讨论了尽管MD5哈希存在安全风险,但仍有大量网站使用它存储密码。面对拖库和撞库攻击,文章提出了一个改进方案:通过在密码后添加随机字符串并进行MD5哈希,增加了破解的难度。该方法通过随机字符串的使用,使得即使密码泄露,攻击者也难以反查到原始密码,从而提高了安全性。
摘要由CSDN通过智能技术生成

最近(2015年10月20日前后)某邮箱系统被曝“泄露”了上亿用户数据,包括密码、密保问题等。无论是确有安全漏洞导致被“拖库”,还是有心人利用“撞库”的方法获得的用户数据,从留出的数据来看,用户的密码、密保等信息都还是使用的MD5 Hash摘要进行存储。


即便是已有组织早有警告MD5已经不再安全,仍然有浩若烟海的大小站点在使用MD5 Hash作为密码信息的存储手段。随手搜索一下,我们就可以发现,网络上已有为数不少的站点,通过生成、索引字典数据库的方法提供MD5等Hash摘要的原文反查服务。仔细研读一下使用说明,就可以发现,不只是MD5,很多的MD5变体都能提供方便的反查。虽然部分记录需要收费,批量查询需要收费,但考虑到所查用户信息的潜在价值,其费用并不高。


接下来问题来了,使用MD5,怎么防止被爆库泄露用户密码?


接触过密码学的话,很容易就会想到一个法子:这简单,不用简单的MD5(Password)不就行了。
于是,出现了:
改用别的Hash, SHA1(Password),SHA256(Password)
多次嵌套,MD5(MD5(Password)),MD5(MD5(MD5(Password))),MD5(MD5(MD5(…(Password)…)))
花样加盐,MD5(Password+Salt),MD5(Salt+Password),MD5(MD5(Password)+Salt),MD5(MD5(Salt)+MD5(Password))


粗看之下,似乎都很有道理,我换了或是更先进或是用得较少的Hash函数,你做字典库要么效率变低开销变大࿰

最低0.47元/天 解锁文章
accenturejack
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MD5撞库
weixin_44437000的博客
07-29 2158
我们生活在这个大数据时代,密码已经和我们的生活息息相关,而现在主流的加密式有 cipher aes des md5 sha256 dsa ecdsa elliptic hmac rand rc4 rsa。虽然现在加密的方式有那么多但是今天在这里主要讲的是MD5加密方式 md加密发展历史 MD2 ## Rivest在1989年开发出MD2算法。在这个算法中,首先对信息进行数据补位,使信息...
JAVA中使用MD5加密实现密码加密
08-30
JAVA中使用MD5加密实现密码加密 在 JAVA 中实现密码加密是一个非常重要的安全机制,MD5 加密是其中一种常用的加密方式。本文将详细介绍如何使用 MD5 加密在 JAVA 中实现密码加密。 一、MD5 加密的原理 MD5...
防止md5撞库破解及逆向算法破解用户MD5密码 - 随机取样密码加密算法
09-09
随机取样密码加密算法 功能:防止md5撞库破解及逆向算法破解用户MD5密码 原理:对明文使用32位随机数组取指纹后重组字符串,再取md5值 echo '无法破解的MD5密文:'. Encrypt_PassWord('password');//无法通过字典破解原文的随机加密密文 echo "\r\n<br />\r\n"; echo '可以被字典破解的MD5密文:'. md5('password');//可以被字典破解的MD5 Power By: Xiao Jun abc195@qq.com Example: echo Encrypt_PassWord('password');
使用MD5如何加密,防止数据泄露
ZPJeck的博客
04-16 882
下面简单的使用java程序演示如何加密: 在java程序中引入commons-codec-1.10.jar,使用以下代码进行加密。 import org.apache.commons.codec.digest.DigestUtils; public class MD5Util { public static String getPass(String password){ ...
md5绕过
最新发布
cyy001128的博客
05-22 859
一种运用与密码的函数。
BUUCTF-Crypto-(无语的)丢失的MD5题解
weixin_47869330的博客
12-11 4119
MD5特征: 一般为16或32位(字母+数字) 解题: woc这题真的大无语事件了草了 不知道正规解法是怎么样,反正我是这么做的:(写着写着爷又会了,正确代码在最后) zip文件先解压 用Python2打开看一下,有串可疑密文闪了一下 (敲黑板)倔强的想要用 Ctrl C+Ctrl V行不通之后,还是选择了手机录制 密文:e9032994dabac08080091151380478a2 (从这开始走弯路)看不出什么名堂来,拿去md5在线解密 解密不出来,灵光一闪用记事本打开 看看: import has
WEB安全之如何挖掘MD5弱口令
thatqier
07-14 4122
0x01  前言      我知道我起这个标题会被很多人鄙视,不就是爆破么?搞得像是谁不会一样。对此,我只想说,那你打我呀!今天会讲的是普通爆破跟使用BURP对MD5加密的密码进行爆破。 0x02  什么是弱口令     弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅
java生成md5密码加盐
07-10
然而,由于MD5的碰撞攻击弱点,直接使用MD5来存储密码已经不够安全。为了增强安全性,我们引入了“加盐”(Salting)的概念。本文将详细介绍Java和SpringBoot如何实现加盐的MD5密码生成。 首先,MD5是一种单向哈希...
安卓逆向-Frida联合IDA | Token破解(在静态调试页面前多按几次F5等待加载完全 | MD5多点几次嵌套进去)
Samsam的博客
03-13 805
通过JADX打开酷安Coolapk.apk,发现无加固特征,能直接搜索到目标参数的键值对 用apktool反编译后用IDA静态打开libnative.so文件 搜索getAS方法发现没有解决,很有可能是开发者在JNI_OnLoad中做了处理 在JNI_OnLoad用y键还原一些寄存器后如图 C语言中的-> C语言中的NewStringUTF() ...
【01】MD5加密算法爆破的种种
weixin_70900845的博客
12-08 1424
关于MD5爆破的一些心得体会。
即使被拖库,也可以保证密码泄露(一种安全的加密方案)
HQ的专栏
01-11 2984
微信扫一扫 作者:CoderZh  微信关注:hacker-thinking (一个程序员的思考)  本文出处:http://blog.coderzh.com/2016/01/10/a-password-security-design-example/  文章版权归本人所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
弱口令及对应md5值字典
12-06
弱口令及对应md5值字典
一个绕过MD5的SQL注入技巧
hi_xpf的博客
04-12 5128
http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 隐藏在注释里的提示: $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=my...
MD5+Salt安全浅析 分类: 软件插件学习 ...
weixin_33807284的博客
05-08 2719
来源:http://www.server110.com/sec_news/201309/995.html 这段时间诸多爆库的新闻,里面有许多饶有趣味的事情。那些用简单密码,或者一个密码走天下的笑话就不说了,咱说点有内涵的。(这篇文章是给IT界的人看的,如果你看不懂,我会准备一个简单的“如何辨别密码安全糟糕的网站”的方法给你,另文描述。)爆库之后哀鸿遍野,一大堆人都在里面嗷嗷乱...
Md5密码加密
zjl_wldjx的博客
09-02 5855
Java常用的对密码加密的方法(MD5,SHA) ,主要使用到了MessageDigest这个类      MD5加密     首先把字符串转换为相应的byte,之后创建方法MessageDigest md5 = MessageDigest.getInstance("md5")声明采用MD5加密算法,对传入的字节码进行MD5加密byte[] digest =md5.digest(b),得到一个...
快速MD5碰撞生成器,MD5真的不可靠了.
热门推荐
xiaofei0859的专栏
02-08 2万+
【本文系外部转载,原文地址:http://ywpc120.5d6d.com/thread-796-1-1.html】 快速MD5碰撞生成器,MD5真的不可靠了. 早就有说法说MD5不可靠,可是一直没有可以快速的程序证明(一个运行N年的程序是没有实际意义的),现在有了. 快速MD5碰撞生成器 两个不同文件,MD5一样的例子: http://www
撞库攻击:一场需要用户参与的持久战
whatday的专栏
07-29 1899
一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联网已泄露用户+密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登
弱口令介绍及破解方式
weixin_56990703的博客
04-02 1万+
一、弱口令的定义 仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 二、弱口令的特点 1、连续字符串(如aaaa,abc等) 2、数字 数字通常会包含个人信息,如生日、身份证号的某几位。 3、字符串+数字;数字+字符串;重复数字或字符串的组合 三、安全口令的要求(有效防止弱口令) 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为
为什么不用MD5直接加密用户密码
07-09
MD5是一种被广泛使用的哈希函数,用于将输入数据转换为固定长度的哈希值。然而,MD5密码存储方面存在一些安全性问题。 首先,MD5是单向哈希函数,意味着无法从哈希值还原出原始密码。这在某些情况下是有益的,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值