密码和Java中的加解密之MD5加点盐

最新推荐文章于 2024-06-25 10:47:04 发布
最新推荐文章于 2024-06-25 10:47:04 发布
阅读量1w 收藏 7
点赞数 1
分类专栏: Java 加解密 MD5 MD5+盐 文章标签: 解密 java string exception byte 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afer198215/article/details/8090366
版权
Java 同时被 3 个专栏收录
28 篇文章 0 订阅
订阅专栏
加解密
3 篇文章 0 订阅
订阅专栏
MD5
1 篇文章 0 订阅
订阅专栏 
   

很多人都用MD5+Base64方式存储密码,这种存储方式 方便、速度快而且由于MD5杂凑算法的几乎不可还原性,攻击者只能通过"猜"去破解密码。


但是MD5对相同的数据返回的信息永远是一样的,"123456"通过MD5+Base64编码后,永远是"4QrcOUm6Wau+VuBX8g+IPg==",攻击者只需要一个简单的sql语句:select * from userInfo where password='4QrcOUm6Wau+VuBX8g+IPg==' 就可以知道有几个用户密码是"123456",这对一个项目来说十分危险。

//这个循环无论执行几次,返回都是一样。
    static void t3(){
        for(int i=0;i<5;i++){
            try {
                String inputPwd = "123456";
                MessageDigest md;
                BASE64Encoder b64Encoder = new BASE64Encoder();
                byte[] bys = null;
                
                md = MessageDigest.getInstance("MD5","SUN");
                md.reset();
                md.update(inputPwd.getBytes("UTF-8"));
                bys = md.digest();
                
                System.out.println("编码后:"+b64Encoder.encode(bys));            
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    }

一种简单有效的解决方法,就是在MD5杂凑前加点随机码,这样攻击者将无法通过一个简单的SQL语句来查找密码是"123456"的用户。

随机码长度是应该固定,且同用户输入的密码一起进行MD5杂凑,随机码应该在Base64编码后的固定位置。

校验时,先取出随机码,再同输入一起进行MD5杂凑,与以前存储的密码比较是否一致。

package test1;

import java.security.MessageDigest;
import java.util.Random;

import sun.misc.BASE64Encoder;

/**
 * 对帐号口令加密
 * @author shanl
 *
 */
public class PasswdEncryption {
	private static final MessageDigest md;
	private static final BASE64Encoder b64Encoder;
	
	static{
		try {
			md = MessageDigest.getInstance("MD5", "SUN");
			b64Encoder = new BASE64Encoder();
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}
	
	/**
	 * 检查密码
	 * @param inputPasswd 用户输入的密码
	 * @param storePasswd 已存储的密码
	 * @return true:通过检查,false:未通过
	 */
	synchronized
	public static boolean checkPasswd(String inputPasswd, String storePasswd){
		boolean ok = false;
		
		try{
			byte[] saltBys = storePasswd.substring(0,2).getBytes("UTF-8");
			String inPwd = toPasswd(inputPasswd, saltBys);
			ok = inPwd.equals(storePasswd);
		}catch(Exception ex){
			ex.printStackTrace();
			ok = false;
		}
		
		return ok;
	}
	
	/**
	 * 将客户输入的密码加密
	 * @param inputPasswd
	 * @return
	 */
	synchronized 
	public static String toPasswd(String inputPasswd){
		byte[] salt = getSaltOfASCII(2);
		return toPasswd(inputPasswd, salt);
	}
	
	/**
	 * 将客户输入的密码加密
	 * @param inputPasswd 客户输入的密码 
	 * @param salt 盐
	 * @return 加密后的字符串
	 */
	synchronized
	private static String toPasswd(String inputPasswd, byte[] salt){
		String pwd = "";
		
		try{			
			md.reset();
			md.update(salt);
			md.update(inputPasswd.getBytes("UTF-8"));
			byte[] bys = md.digest();;
			//1:AASLexNtFtI7e1IuQIg88ZNA==
			//879:AA/lCM5NEwVQJ25YYomE1ldQ==
			//1000:AARXKQat7z+/iu2w6KpKgLQA==
//			for(int i=0; i<1000; i++){
//				md.reset();
//				bys = md.digest(bys);
//			}
						
			pwd += (char)salt[0];
			pwd += (char)salt[1];
			pwd += b64Encoder.encode(bys);			
		}catch(Exception ex){
			ex.printStackTrace();
			pwd = "";
		}
		
		return pwd;
	}
	
	/**
	 * 返回指定长度的盐(ASCII码)
	 * @param len 长度
	 * @return
	 */
	private static byte[] getSaltOfASCII(int len){
		byte[] salt = new byte[len];
		Random rand = new Random();
				
		for(int i=0; i<len; i++){
//			salt[i] = 'A';
			salt[i] = (byte) ((rand.nextInt('~'-'!')+'!') & 0x007f);
		}
				
		return salt;
	}
}

 

测试类:

package test1;

public class Test8 {
	public static void main(String[] args){
		t2();
//		t1();
	}
	
	static void t2(){
		String[] userPwds = {
				"123456",
				"123456",
				"123456",
				"123456",
				"123456",
				"1234561", //error input
		};
		
		//通过t1()得到
		String[] dbPwds = {
				"u:rkoqEBZ+IZlcugSyVkhNVg==",
				"vDEbVZ9JlSveGnB/Qdz69aAQ==",
				"hbgon/TjwH8s7YSuqVSDl9Yg==",
				"0-ExML8oTOSCeF3ETf1yvDHg==",
				"1TeHpWiXOhx5ilscC6D6G98g==",
				"1TeHpWiXOhx5ilscC6D6G98g==",
		};
		
		String msg = "";
		
		for(int i=0,end=dbPwds.length; i<end; i++){
			msg  = "user input passwd:"+userPwds[i];
			msg += ",db store passwd:"+dbPwds[i];
			msg += ",check passwd:"+PasswdEncryption.checkPasswd(userPwds[i],dbPwds[i]);
			
			System.out.println(msg);
		}
	}
	
	/**
	 * 加密测试
	 */
	static void t1(){
		String pwd = "123456";
		String pwd1 = null;//PasswdEncryption.toPasswd(pwd);
		
		for(int i=0; i<5; i++){
			pwd1 = PasswdEncryption.toPasswd(pwd);
			
			System.out.println(pwd1);
		}
	}
}

t1()结果显示,在很小的情况下会出现相同的加密后密码,攻击者很难用一个简单SQL去查找同一密码的用户。

t2()则可以用同一个密码"123456"验证,多个加密后的密码。
 

想喝咖啡的貓
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java md5加密_java 实现md5加密、加解密
weixin_33772728的博客
02-13 2372
方式:0-9的数字把0和9交换、1和8交换、2和7交换……使用第三方的commons-codec jar包下载地址:dist.apache.orgrelease/->commons/->codec/->binaries/->commons-codec-1.12-bin.zip或www.apache.orgcommons/->codec/->Download...
java 实现md5加密、加解密
tcbdbd的博客
04-20 1万+
package com.oracle.core; import org.apache.commons.codec.digest.DigestUtils; public class Md5Utils { public static void main(String[] args) { new Md5Utils().md5salt(); } public void md5...
java实现Md5加密算法
10-26
对接接口时用到的一种常用加密算法,常用于验证签名,使用shiro-all-1.4.1.jar,可自行下载
MD5加密
菩提本无树
05-23 429
String password="123456"; //获得摘要对象 MessageDigest mDigest= MessageDigest.getInstance("MD5"); //获得字符串的摘要信息 byte[] result= mDigest.digest(password.getBytes("utf-8")); //对摘要信息再次进行编码进制转换 BASE64Enco...
一个简单的md5破解
最新发布
shierbai的博客
06-25 260
这里自己琢磨了一下,用python写了一个简易工具,由于md5是不可逆的,但我们可以去尝试用值加上字典里的明文密码去拼接然后加密和密文做对比,暴力枚举。我是做vulhub的cmsms复现的时候,用他的poc跑出来密文和值,发现这个是做了字段拼接再加密,也就是加了,然后没办法直接依靠在线网站做解密。首先需要获取到salt值和密文,自己有字典。声明,仅供学习,请勿用于非法用途!
md5加密
yohoph的专栏
08-29 1385
1.密码123456   MD5后“4QrcOUm6Wau+VuBX8g+IPg==”现在系统用应用了该种算法,貌似不像很标准的MD5加密,实现目的就可以了。可以算是MD5和base64综合体。 import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import sun.misc.BA
MD5 与 Base64一起使用 加密,计算原理
sun0322
07-02 1万+
使用Java处理,对字符串 进行MD5与Base64 同时加密 使用Java处理,得到字符串或文件的MD5的值
Java实现MD5
热门推荐
kswkly的博客
06-03 2万+
1、是什么 一串随机数 2、为什么要加 只要明文相同,那么MD5加密后的密文就相同,于是攻击者就可以通过撞库的方式来破解出明文。加就是向明文加入随机数,然后在生成MD5,这样一来即使明文相同,每次生成的MD5码也不同,如此就加大了暴力破解的难度。 3、java实现 package md5; import java.security.MessageDigest; import java.s...
java生成md5密码
07-10
本文将详细介绍Java和SpringBoot如何实现加MD5密码生成。 首先,MD5是一种单向哈希函数,它将任意大小的数据转换为128位的哈希值,通常以32位的十六进制字符串表示。其优点是计算速度快,但缺点是容易遭受彩虹...
java后台及前端js使用AES互相加解密及前端md5加密
11-02
综上所述,本主题涵盖了JavaJavaScript数据加密的重要技术,包括AES的双向加解密MD5的单向加密。在实际应用,这些技术可以帮助保护用户数据,确保网络通信的安全。在开发过程,要确保遵循最佳安全实践,...
java常用类-MD5加密与DES加密解密
08-13
java常用的工具类,用于MD5加密,里面还有切割了MD5加密的长度,有DES加密解密,并且配有main函数可测试,可以根据自己的实际情况使用main函数测试使用
java实现md5 加密解密
08-20
java实现md5 加密解密(在网络MD5是著名的不可逆算法,但是如果知道MD5加密的字符串 则可以通过自己的加密算法对明文进行加密,对加密后的密文与字符串匹配; 匹配成功,表示找到明文;但是此程序的时间耗费较高!仅...
Flex Base64 md5 123456后得到4QrcOUm6Wau+VuBX8g+IPg==
weixin_34216196的博客
02-25 926
为什么80%的码农都做不了架构师?>>> ...
Java使用MD5密码进行加密处理,附注册和登录加密解密处理
见证自己学习,成长的记录
02-21 1万+
在开发的时候,有一些敏感信息是不能直接通过明白直接保存到数据库的。最经典的就是密码了。如果直接把密码以明文的形式入库,不仅会泄露用户的隐私,对系统也是极其的不厉,这样做是非常危险的。那么我们就需要对这些铭文进行加密(salt)一般是一个随机生成的字符串或者常量。我们将与原始密码连接在一起(放在前面或后面都可以),然后将拼接后的字符串加密。salt这个值是由系统随机生成的,并且只有系统知道。即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,散列值也是不同的。
Android加密 看雪,Android加密解密入门两题
weixin_29607629的博客
06-02 362
写在最前面本次题目来自看雪2w班9月题。密码学一直是安全的基础,Android安全也不例外,这次9月份的题分别从java层和C层考察了密码常用的对称加密、hash函数以及一些基础的编码,但是不是单纯的算法分析题,可以说是很好的练习题了。9月第一题脱壳,脱壳后进行逆向,一开始感觉so文件完全没啥用,反而有一个Utils的类十分可疑很明显的test函数是入口,然后调用bbbbb函数进行加密得到的返...
JavaMD5加密
weixin_44225940的博客
02-17 4829
MD5加密 MD5是常用的加密算法,在用户注册时通过算法加密密码存入数据库,保护用户密码,数据库管理员不能直接看见密码,即使用户数据库被盗,没有存储明文的密码对用户来说也多了一层安全保障。用户登录时,在客户端用户输入密码后,也会使用MD5进行加密,这样即使用户的网络被窃听,窃听者依然无法拿到用户的原始密码MD5加密 把参数名和参数值拼接成一个字符串,同时把给定的密钥也拼接起来。之所以需要...
Java使用MD5算法加密, 支持加
Mr_chen的博客
02-11 3601
摘要 今天博主也开始更新博客了,为国家做贡献十几天后,第一天上班还下大雨真刺激!今天简单的讲一讲–Java使用MD5算法加密, 支持加。 为什么要使用MD5算法加密并加被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,散列值也是不同的。 MD5算法的原理可简要的叙述为:MD5码以512位分组来处理输...
密码加密方式——Md5+
weixin_43434080的博客
05-25 5721
Md5+加密介绍 demo演示 源码观察
javaMD5加密保存密码 解密校验
05-30
Java ,可以使用 MessageDigest 类提供的 digest 方法来进行 MD5 加密,具体方法如下: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MD5Util...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值