对用户密码进行加盐处理

最新推荐文章于 2023-09-06 20:12:45 发布
最新推荐文章于 2023-09-06 20:12:45 发布
阅读量3.9k 收藏 4
点赞数
分类专栏: 安全 文章标签: md5 加密 密码 加盐

按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。

如果不了解下文部分细节的话,您可以参考这篇文章: 使用MD5对存放在数据库中用户密码进行保护


直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图:


如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。

那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。下面请见代码:
//  对密码进行加盐后加密,加密后再通过Hibernate往数据库里存
        String changedPswd = DigestUtils.md5Hex(name + pswd);

就是这样简单,上面代码中盐就是用户名,可以的话还可以用用户注册时的邮件,注册时间等非空信息(如果是空信息这个加盐处理会失效)。

下面是数据库中两个用户的记录,他们的实际登录密码都是123456,但光看用户记录是完全看不出来的。这下别有用心的人打开数据库看到的密码都完全不一样,他以前的手段就失效了。


加盐就是这样简单,感谢您看到这里。

http://www.blogjava.net/heyang/archive/2010/11/28/339233.html


现在的MD5密码数据库的数据量已经非常庞大了,大部分常用密码都可以通过MD5摘要反向查询到密码明文。为了防止内部人员(能够接触到数据库或者数据库备份文件的人员)和外部入侵者通过MD5反查密码明文,更好地保护用户的密码和个人帐户安全(一个用户可能会在多个系统中使用同样的密码,因此涉及到用户在其他网站和系统中的数据安全),需要对MD5摘要结果掺入其他信息,称之为加盐。  

加盐的算法有很多,考虑到加盐的目的(防止拥有系统底层权限的人员),想做到绝对不可反查是很困难的,需要有其他软件或者硬件的协助,在很多场景下的实用性比较差。如果只是想增加反查的难度,倒是有很多方法可以选择,一种便利的方法是md5(Password+UserName),即将用户名和密码字符串相加再MD5,这样的MD5摘要基本上不可反查。但有时候用户名可能会发生变化,发生变化后密码即不可用了(验证密码实际上就是再次计算摘要的过程)。  

因此我们做了一个非常简单的算法,每次保存密码到数据库时,都生成一个随机16位数字,将这16位数字和密码相加再求MD5摘要,然后在摘要中再将这16位数字按规则掺入形成一个48位的字符串。在验证密码时再从48位字符串中按规则提取16位数字,和用户输入的密码相加再MD5。按照这种方法形成的结果肯定是不可直接反查的,且同一个密码每次保存时形成的摘要也都是不同的。如以下代码所示:  

Java代码  
  1. package com.zving.framework.security;  
  2.   
  3. import java.security.MessageDigest;  
  4. import java.util.Random;  
  5.   
  6. import org.apache.commons.codec.binary.Hex;  
  7.   
  8. /** 
  9.  * @author wyuch 
  10.  * @email wyuch@zving.com 
  11.  * @date 2011-12-31 
  12.  */  
  13. public class PasswordUtil {  
  14.     /** 
  15.      * 生成含有随机盐的密码 
  16.      */  
  17.     public static String generate(String password) {  
  18.         Random r = new Random();  
  19.         StringBuilder sb = new StringBuilder(16);  
  20.         sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));  
  21.         int len = sb.length();  
  22.         if (len < 16) {  
  23.             for (int i = 0; i < 16 - len; i++) {  
  24.                 sb.append("0");  
  25.             }  
  26.         }  
  27.         String salt = sb.toString();  
  28.         password = md5Hex(password + salt);  
  29.         char[] cs = new char[48];  
  30.         for (int i = 0; i < 48; i += 3) {  
  31.             cs[i] = password.charAt(i / 3 * 2);  
  32.             char c = salt.charAt(i / 3);  
  33.             cs[i + 1] = c;  
  34.             cs[i + 2] = password.charAt(i / 3 * 2 + 1);  
  35.         }  
  36.         return new String(cs);  
  37.     }  
  38.   
  39.     /** 
  40.      * 校验密码是否正确 
  41.      */  
  42.     public static boolean verify(String password, String md5) {  
  43.         char[] cs1 = new char[32];  
  44.         char[] cs2 = new char[16];  
  45.         for (int i = 0; i < 48; i += 3) {  
  46.             cs1[i / 3 * 2] = md5.charAt(i);  
  47.             cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);  
  48.             cs2[i / 3] = md5.charAt(i + 1);  
  49.         }  
  50.         String salt = new String(cs2);  
  51.         return md5Hex(password + salt).equals(new String(cs1));  
  52.     }  
  53.   
  54.     /** 
  55.      * 获取十六进制字符串形式的MD5摘要 
  56.      */  
  57.     public static String md5Hex(String src) {  
  58.         try {  
  59.             MessageDigest md5 = MessageDigest.getInstance("MD5");  
  60.             byte[] bs = md5.digest(src.getBytes());  
  61.             return new String(new Hex().encode(bs));  
  62.         } catch (Exception e) {  
  63.             return null;  
  64.         }  
  65.     }  
  66.   
  67.     public static void main(String[] args) {  
  68.         String password = generate("admin");  
  69.         System.out.println(verify("admin", password));  
  70.     }  
  71. }  

fengnote
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
md5注册登录双重密码保护
qq_38086247的博客
09-15 2252
md5的目的 可以防止底层人员和外部入侵能查看到数据库的用户密码进行密码处理,使得用户密码泄露时不能通过彩虹表等手段容易破解得到明文 在用户登录时,传输密码再次,使得用户入侵者就是拿到前端已经的哈希值也不能与后台数据库的哈希值想对应 注册时在js前端(这时候的密码直接存到数据库里面) //num:用户账号 pass:用户密码明文(其中num认为是s...
MD5密算法中的值(SALT)简单理解
最新发布
关注收藏,可以私信解决问题!
05-31 1043
密码学中,值是一个随机生成的数据片段,它与密码结合在一起,然后一起进行哈希处理。当用户登录时,系统会取出存储的值,将其与用户输入的密码结合,然后进行哈希处理,最后将结果与数据库中存储的哈希值进行比较,以验证密码的正确性。需要注意的是,尽管可以提高安全性,但MD5本身已经不再被认为是安全的哈希函数,因为它容易受到多种攻击,如碰撞攻击。MD5是一种广泛使用的密散列函数,它可以产生一个128位(16字节)的哈希值,通常用一个32位的十六进制字符串表示。
md5
weixin_30877181的博客
04-27 175
本文转自http://www.cnblogs.com/guanghuiqq/archive/2012/09/08/2676384.html http://www.blogjava.net/heyang/archive/2010/11/28/339233.html 按:以下还是炒冷饭,如果您对了解就不用往下看了,以免浪费宝贵时间。 如果不了解下文部分细节的话,您可以参考这篇文章...
给你的密码
zp1996323的博客
01-30 1万+
写在前面本文描述了本人,对于数据库中如何保存密码的认识过程。从最简单的明文保存到密码保存,下面与大家分享下:第一阶段最开始接触web开发时,对于用户表的密码基本是明文保存,如:username | password ---------|---------- zp1996 |123456 zpy |123456789这种方式可以说很不安全,一旦数据库泄漏,那么所以得用户信息就会被泄漏
密码值salt)
weixin_66107760的博客
01-03 2009
密码值salt)
koa2 用户注册、登录校验与密的实现方法
10-16
总结来说,Koa2在处理用户注册和登录时,采用密技术保护用户密码的安全,通过JWT进行身份验证,提供了可靠的安全保障。同时,使用Mongoose进行数据操作,简化了数据库交互。开发者在实际应用中应根据项目需求...
salt_hash.zip_Node.js_密码密与解密_密码
09-20
本案例主要关注的是如何利用Node.js的crypto模块来进行密码密与解密,并且涉及到了密码(salt)的策略。以下是对这两个关键知识点的详细说明。 首先,我们来看密码密。在Node.js中,crypto模块是内建的,...
Express下采用bcryptjs进行密码密的方法
10-18
在Express框架下,我们可以使用bcryptjs这个库来对用户密码进行密,确保数据的安全性。以下是对bcryptjs在Express中的使用方法的详细说明: 1. **安装bcryptjs**: 在开始使用bcryptjs之前,我们需要先通过npm...
php实现用户注册密码的crypt
10-19
4. 为了增强安全性,可以考虑使用哈希策略,并多次迭代哈希过程。 5. 应该使用现代的数据库连接方式,如`mysqli`或`PDO`,而非已废弃的`mysql_`函数。 6. 在用户注册时,应有相应的验证机制,例如邮箱或手机号...
nodejs中密码处理操作详解
12-30
其实就是使用MD5密的,不太安全,在实际开发中根据自己的方案进行处理 二、在路由视图中使用密方式 1、导入node自带的密模块(不需要安装) //导入密模块 const crypto = require(crypto); 2、做一个用户...
MD5算法 含mysql数据库
04-05
一个简单的MD5算法,对存入数据库的密码进行密达到保护用户信息的作用
什么是密码
崔二旦
03-23 1万+
Apache Shiro 学习记录
密码
热门推荐
大鱼物联
06-17 2万+
密算法进行反向查询地址http://www.cmd5.com/ 一、密码 密是一种对系统登录口令的密方式,它实现的方式是将每一个口令同一个叫做”“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未密的方式存放在口令文件中,这样每个人都可以读。不再只保存密过的口令,而是先将口令和随机数连接起来然后一同密,密后的结果放在口令文件中。...
salt
tamink2013的博客
01-23 100
(一) 为什么要用哈希函数来密码 如果你需要保存密码(比如网站用户密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。 解决的办法是将密码密后再存储进数据库,比较常用的密方法是使用哈希函数(Hash Function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说...
登录密码处理方式
真正的大师永远怀着一颗学徒的心
09-06 863
登录密码处理
密码认证-SHA密码
算法攻城狮
02-23 1647
密码认证,首先是密码密算法,然后密码咋存储 ,如图所示 密码密分为不可密和可逆密算法。安全存储策略,有明文保存和保存,明文保持容易导致密码丢失,一般采用密码保持。注册和认证流程如下: 用户注册一个帐号 密码经过哈希密储存在数据库中。只要密码被写入磁盘,任何时候都不允许是明文 当用户登录的时候,从数据库取出已经密的密码,和经过哈希的用户输入进行对比 如果哈希值相同,用户获得登入授权,否则,会被告知输入了无效的登录信息 每当有用户尝试登录,以上两步都会重复 密过程采用sha25
用户密码
ExtremeWays的专栏
04-21 2867
2012.2.25 参了TUP第20期 互联网安全:http://news.csdn.net/a/20120227/312397.html 对其中有一点很感兴趣:用户密码,简单谈下我的认识。 泄密门事件给互联网安全敲响警钟,使得原来的用户信息密方式受到很大威胁。原来的密方式是相同的明文经过MD5散列密后的密文相同,当某站点受到拖库攻击后,黑客统计出使用频率最高的前n个密文(这个比例
密码如何“密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7160
为什么要使用的方式对密码进行密?我们知道传统的 md5 密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 密每次生成的密码都是固定的~ 为了解决这个问题,就出现了密方式,每次生成的密码都是不一样的~接下来我会讲两种密方式(),那么就一起来看一下使用的方式进行密和解密吧~
用户密 后台模拟登录
05-18
用户密是一种常见的安全措施,可以保护用户账户的密码不被轻易破解。对于后台模拟登录,你需要先了解如何进行用户密。 一般而言,密码密过程可分为两个步骤: 1. 对原始密码进行处理 2. 对后的密码进行哈希密 具体实现方法如下: 1. 首先,为每个用户生成一个随机的字符串,作为值。值可以使用随机数、时间戳等方式生成。 2. 将值和用户密码拼接在一起,然后进行哈希密。常见的哈希算法有MD5、SHA1、SHA256等。 下面是一个示例代码,实现用户密码密: ```python import hashlib import os # 生成随机的值 def generate_salt(): return os.urandom(16).hex() # 对密码进行密 def encrypt_password(password, salt): # 将值和密码拼接在一起 salted_password = salt + password # 使用SHA256哈希算法进行密 hashed_password = hashlib.sha256(salted_password.encode('utf-8')).hexdigest() return hashed_password # 模拟用户表 users = { 'user1': { 'password': '', 'salt': '' } } # 注册用户 def register(username, password): salt = generate_salt() hashed_password = encrypt_password(password, salt) users[username] = { 'password': hashed_password, 'salt': salt } # 验证用户密码是否正确 def validate_password(username, password): user = users.get(username) if user: salt = user['salt'] hashed_password = user['password'] # 对输入的密码进行密,然后与数据库中的密码比较 return encrypt_password(password, salt) == hashed_password else: return False ``` 在完成了密的用户密码之后,你可以编写后台模拟登录的代码了。具体实现步骤如下: 1. 接收用户输入的用户名和密码。 2. 验证用户名和密码是否正确。 3. 如果用户名和密码正确,则将用户信息存储在Session中,表示用户已经登录。 4. 如果用户名或密码错误,则返回错误提示信息。 下面是一个示例代码,实现后台模拟登录的功能: ```python from flask import Flask, request, session app = Flask(__name__) app.secret_key = 'my-secret-key' @app.route('/login', methods=['POST']) def login(): username = request.form.get('username') password = request.form.get('password') if validate_password(username, password): # 将用户信息存储在Session中,表示用户已经登录 session['username'] = username return 'Login success' else: return 'Username or password is incorrect' @app.route('/logout', methods=['POST']) def logout(): # 清空Session中的用户信息,表示用户已经退出登录 session.clear() return 'Logout success' @app.route('/profile', methods=['GET']) def profile(): # 获取当前登录的用户信息 username = session.get('username') if username: return 'Welcome, %s' % username else: return 'Please login first' if __name__ == '__main__': app.run() ``` 在这段示例代码中,我们使用了Flask框架来实现Web应用。用户可以通过访问/login和/logout路由来进行登录和退出操作,访问/profile路由来查看当前登录用户的个人信息。在登录成功后,我们将用户的信息存储在Session中,以便在后续的请求中使用。如果用户没有登录,则无法访问/profile路由,会被重定向到登录页面。 以上就是密和后台模拟登录的基本实现方法。当然,要想更安全地保护用户的账户信息,还需要做好其他方面的安全措施,如设置密码强度策略、限制登录失败次数等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值