密码存储与传输的那些事儿(一)密码存储概述

最新推荐文章于 2024-06-03 10:52:41 发布
最新推荐文章于 2024-06-03 10:52:41 发布
阅读量2.4k 收藏 7
点赞数 3
分类专栏: 安全 文章标签: 密码存储 哈希 摘要 加盐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjxojm/article/details/81545407
版权

     最近看到一个项目,用明文存储的密码,让人不忍直视,所以就想聊聊密码的存储以及登陆过程中密码传输的那些事儿。

     首先就来看看密码存储,密码不能明文存储相信这个都不会有异议,那应该如何存储呢?    

方案1: 加盐哈希

       相信这个方案也是大多数公司目前使用的方案,至于哈希算法的话,普遍都采用MD5、SHA1、SHA256等算法。加盐的方式也各不相同,比如在密码尾部、在密码中间、在密码头部增加随机盐,有的甚至会使用多次HASH。

       不仅如此,甚至可以每次用户设置密码的时候,都为每一个用户生成随机盐,并将随机盐与用户信息一并存储(有时为了混淆,最好将随机盐与密码分表存储,也不要起SALT之类的列名)如此相信即使攻破的数据库,想要破解用户密码也是相当困难的。

       后续如果收到用户登陆请求,取出用户随机盐并通过相同的算法进行计算,将结果和数据库中密码相对比就可以判断用户密码是否输入正确。

        由于摘要算法的不可逆性,其实一定程度上就限制了登陆过程中用户密码的传输方式。例如:假设服务器的密码转换算法为MD5(SALT + PASSWORD),那么登陆时,有几种选择:

  • 传明文密码,在服务器完成密码转换后与数据库中密码进行比对;这种方式在非HTTPS情况下还是相当危险的,如果你是HTTPS的话,也可以用这种方式,但也不是太优雅;
  • 将用户随机盐发送给客户端,客户端再使用SHA256(SALT+PASSWORD)计算之后将结果传送给服务器,服务器直接与数据库中
最低0.47元/天 解锁文章
DreamerJ
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
密文形式保存密码
qq_41288473的博客
03-02 1549
密文形式保存密码 绝大部分系统都会有用户注册和登录功能,其中密码是非常重要且敏感的信息。这种信息如果以明文形式存储在数据库中时非常不安全的。因此以密文形式存储是任何系统都应该做的最基本的安全措施。 什么是加密 数据加密 的基本过程,就是对原来为 明文 的文件或数据按 某种算法 进行处理,使其成为 不可读 的一段代码,通常称为 “密文”。通过这样的途径,来达到 保护数据 不被 非法人窃取、阅读的目的。 什么是解密 加密 的 逆过程 为 解密,即将该 编码信息 转化为其 原来数据 的过程。 常见的加密算法 哈希
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 628
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
用户密码存储密码传输
等待就是浪费青春
07-03 3115
用户密码存储与 Python 示例 在各种线上应用中,用户名密码是用户身份认证的关键,它的重要性不言而喻。一方面,作为保护用户敏感数据的钥匙来说,一旦被破解,系统将敞开大门完全不设防。另一方面,密码这把钥匙本身就是非常敏感的数据:大多数用户会在不同应用中使用近似甚至完全相同的密码。一旦某一个应用的密码被破解,很可能坏人就此掌握了用户的“万能钥匙”,这个用户的其它应用也相当危险了。
数据加密解析:实现安全的数据传输存储
韩束一叶子
06-03 878
数据加密在现代信息时代具有重要的作用,它是一种将数据转换成不可读形式的技术,以保护数据的安全性和隐私。随着互联网和数字技术的发展,数据加密已经成为了我们日常生活、企业运营和国家安全等多个领域的不可或缺的一部分。数据加密的核心目标是确保数据在传输存储过程中不被未经授权的实体访问和篡改。为了实现这一目标,数据加密技术利用了一些数学原理和算法,这些算法可以确保数据的安全性和完整性。在本文中,我们将深入探讨数据加密的核心概念、算法原理、实例代码和未来发展趋势。
密码加密存储方式(不宜被破解!!!)
weixin_69134926的博客
03-26 144
MD5密码加密存储,不易被破解
密码及加密方式
weixin_34314962的博客
03-08 121
2019独角兽企业重金招聘Python工程师标准>>> ...
如何安全存储用户密码/数据库安全存储密码的方式
热门推荐
稻草人的格子衫
03-07 1万+
总的来讲,目前公认比较安全的存储密码方式是PBKDF2, BCrypt 或 SCrypt 算法产生的密码。历史上密码加密存储经历了如下几个阶段:1. 单向hash(MD5) 做单向的hash加密,以MD5和sha算法为代表,这类做法比明文直接存储看起来要安全,但是如果在db被攻破的时候,以目前计算机的算力加之黑客的各种技术手段,其实跟明文是差别不大的,我们知道密码学里面破解密码最笨的一种方法...
密码密文存储(bcrypt)
qq_45782978的博客
03-30 1284
密码密文存储 1、 在服务端,即server文件夹中,安装bcrypt npm i bcrypt 2、 引入模块 const schema = new mongoose.Schema({ username :{ type:String }, password :{ type:String, set(val){ return require('bcrypt').hashSync(val,10) }}, }) 这里的10为
MSPM0G3507开发环境概述
最新发布
07-22
### MSPM0G3507开发环境概述 MSPM0G3507作为一个假设的开发环境标识,我们在此构建一个详细的解释框架,帮助理解这类开发环境可能包含的关键组成部分、技术栈以及最佳实践。 #### 技术栈 ##### 1. 编程语言与框架...
Linux那些事儿之我是U盘
11-15
《Linux那些事儿之我是U盘》一书深入浅出地介绍了Linux 2.6.22内核版本中USB子系统的实现机制。 #### 二、USB子系统概述 Linux的USB子系统主要包括以下几个部分: 1. **USB主机控制器驱动(Host Controller ...
云计算IT基础知识概述-converted.pptx
07-08
云计算IT基础知识概述主要涵盖数据中心的运行、故障应对以及IT和CT系统的功能,这些知识点对于理解现代信息技术的基础架构至关重要。首先,我们从一个实际案例出发,分析数据中心供电故障的影响。 在2014年9月30日...
linux那些事儿之我是U盘
11-24
### Linux与USB存储设备——《Linux那些事儿之我是U盘》知识点提炼 #### 引言 本文基于一篇幽默且深入的教程《Linux那些事儿之我是U盘》,该文章通过作者的亲身经历和深入浅出的讲解,介绍了Linux操作系统中USB存储...
存储用户密码应该使用什么加密算法?比较合适
m0_49496327的博客
04-22 3615
概述 编程开发中,像用户登录注册这种功能很常见,那么对于用户密码处理,我们该选择什么样的加密算法呢?在这种场景下,算法需要满足下面两个条件: 算法需不可逆,这样才能有效防止密码泄露。 算法需相对慢,可以动态调整计算成本,缓慢是应对暴力破解有效方式。 目前来看有这么几个算法PBKDF2、BCrypt和SCrypt可以满足。我们先看下旧的密码加密方式。 旧的加密 过去密码加密常用MD5或者SHA。MD5是早期设计的加密哈希,它生成哈希速度很快,随着计算机能力的增强,出现了被破解的情况,所以又...
密码存储传输的那些事儿(五)密码传输
jjxojm的专栏
08-21 2041
       对于密码存储,需要使用密码哈希来保证用户隐私与密码安全,对于这一点基本上是没什么争议的。但对于像用户登陆这样的场景来说,需要传递用户密码,这时是否需要使用哈希算法?如何保证密码安全? 首选HTTPS HTTPS肯定是最安全的方式,这点是毋庸置疑的。有些人也很极端的说,“如果项目都不肯用HTTPS,这样的公司待下去也没啥意思”,这点我却不敢苟同了。实际上很多小项目或者是私活之类的...
如何加密传输存储用户密码
weixin_34248705的博客
05-11 499
为什么写这篇文章 近期,Github被爆出,在内部日志中记录了明文密码。 虽然据说影响面很小,但是网络和数据安全问题又一次被放到台面上。大多数用户的常用密码就那么几个,一旦被黑客拿到,去其他网站“撞库”,可能会造成用户的财产损失。 本篇文章主要介绍如何加密传输存储用户密码,并讲解相关原理。 加密传输 加密主要有两种方式:对称加密和非对称加密。 对称加密 对称加密:在加密和解密时使用的是同一个秘...
谈谈密码安全:服务端密码保存
daiyudong2020的博客
01-12 4566
现在有越来越多的网络服务,基本都需要注册才能使用,注册需填写账号和密码。账号基本是邮箱或者手机号,普通人基本上只有一两个邮箱和手机号,而普通人记得的密码也只是一两个。因此很多人会很自然地在不同的网络服务中使用相同的账号和密码。 这样就出现安全隐患。一旦某个服务的账号密码被泄露,其它的服务安全就受到牵连。 密码安全,应该分两部分讨论: 作为账号系统的设计者,如何对用户负责,更安全地保存密码
用户密码到底要怎么加密存储
Java技术栈,分享最主流的Java技术
02-08 4807
Java技术栈www.javastack.cn优秀的Java技术公众号作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄...
密码学基础与安全机制概览
"基本安全机制-密码概述" 在信息技术领域,密码学是保障信息安全的重要基石,它涉及一系列用于保护数据安全的技术和方法。本课程将深入探讨密码学的基础概念和应用,包括加密、数字签名、访问控制、数据完整性、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值