加密储存 --- 密码保存那些事

最新推荐文章于 2024-05-16 11:30:00 发布
最新推荐文章于 2024-05-16 11:30:00 发布
阅读量892 收藏
点赞数
分类专栏: 专业学习 文章标签: 安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kewei168/article/details/117232037
版权

加密储存 — 密码保存那些事

系列文章

文章目录


讲完加密通信,再来说说加密保存,这两者最大的一个区别就是对 时效的要求,加密通信会对延迟有比较高的要求,但是储存相对来说就会宽松很多(用户并不会特别在意加密一个文件花费了1秒钟);还有一个区别就是,保存有时候只需要单向性,比如保存密码,我们只需要保存加密后的值,永远不需要保存密码原文(验证的时候只需要将用户输入同样加密一下,比较两个加密值即可)。

由于只需要单向性,所以我们不需要用到加密通信里面的种种加密方式,只需要使用Hash函数即可;假如需要双向性,如保存文件,大多使用的是对称加密,因为1)加密和解密是同一个人,不存在密钥分发问题;2)使用非对称加密的话,私钥的保存问题(假如加密文件和私钥放在一起,那么等于把钥匙放到了锁的旁边)。

那么我们这里就来聊聊“ 密码保存”的那些事,这里我会从最简单(最不安全)的方法开始,一步步的优化改善,最终得到一个可以实际应用的方案。首先要明确攻击者的最终目标,攻击者的最终目标就是“获得用户密码的明文信息”(注意是明文),而我们的目标便是阻止攻击者获得原文密码。下面来逐一看看各种方案:

方案一:明文储存

直接密码原文保存到数据库内,这种方式最简单,不需要任何额外的操作。不足:一旦数据库被攻破,数据泄露,攻击者就可以得到密码原文。

方案二:Hash

相比较于保存密码原文,我们改为保存密码Hash后的值,验证时通过比较Hash值而不是直接比较密码。相比较于第一种方式,该方式提高了一定的安全系数,攻击者无法直接得到密码原文,需要多做一步破解工作。不足:攻击者仍可以通过破解Hash函数来获得密码原文(经常会发生!)同时攻击者只要攻破了一个密码就能攻破所有相同的,比如:他计算得到"hello"的Hash值是avaggaghsgsfga,那么所有密码Hash值是avaggaghsgsfga的用户真实密码都是"hello"。

方案三:Hash + Salt

相比较于直接计算密码原文的Hash,该方案针对每一个用户,先在密码原文后面添加一段随机字符 (salt),然后计算整体的Hash(即 H ( p a s s w o r d + s a l t ) H(password+salt) H(password+salt));这样攻击者就需要针对每一个用户都破解一次,因为即使两个用户的密码都是"hello"但是他们的salt不一样,导致了最后的Hash值也不一样。不足:针对单个用户,并没有提高多少的安全性;同时假如攻击者的算力足够高,仍然有可能破解出所有的用户密码。

终极方案:Hash + Salt + Iteration count

相比较于方案三计算 H ( p a s s w o r d + s a l t ) H(password+salt) H(password+salt),该方案计算 H ( H ( . . . H ( p a s s w o r d + s a l t ) . . . ) ) H(H(...H(password+salt)...)) H(H(...H(password+salt)...)),重复计算N次(N应该是一个可配置的变量)Hash。该方案的核心思想就是让Hash计算变得“更慢”,这样的话攻击者的破解难度就会直线上升,但不会对正常使用造成过大影响。比如重复计算100次Hash使得验证一个Hash比原来慢了100倍 (0.1ms -> 10ms),但是这个改变对于正常使用来说完全可以接收,因为1)只需要计算一次就可得出结论(正确与否);2)使用的频次比较少(用户可能几天才需要登录一次)。但是对于攻击者来说就大大增加了难度,因为攻击者通常需要几万次乃至几十万次的尝试才能破解得到密码,假如单次速度变慢100倍,累计起来就是一个很大很大的延迟。

由于储存密码这个需求实在是太普遍了,所以现在有很多现成的库都实现了相关功能,甚至很多数据库本身就已经集成了储存密码相关的功能。

常见攻击种类

最后我们再来看看针对密码有哪些常见的攻击:

  • 离线字典攻击(比如:破解hash后的密码)
    • 防御:通过salt和iteration count增加其破解难度
  • 特定账户攻击(使用字典破解某一个账户)
    • 防御:最大尝试次数,增加密码复杂度
  • 常规密码破解(使用一些常见的密码来进行尝试,如rockyou密码本)
    • 防御:增加密码复杂度
  • 针对单个用户猜测密码(先对目标进行一定的研究,然后据此进行猜测)
    • 防御:用户训练(如不要使用太有规律的密码),增加密码复杂度
  • 寻找用户漏洞(如不经意间分享了密码,使用了初始密码等)
    • 防御:用户训练,使用一次性的初始密码(强制用户首次登录后立刻修改密码)
  • 寻找相同的密码(在不同的系统上尝试相同的密码)
    • 防御:用户训练,使用好的密码管理工具(不同系统不同密码)
  • 网络漏洞(如监听你的网络流量等)
    • 防御:加密通信

从上面可以看出,“增加密码复杂度”可以防御很多的攻击,因为随着复杂度的增加破解的难度是呈指数性增加的。比如我们规定密码只能是小写字母和数字(简单起见,实际复杂多了),那么每一位有 26 + 10 = 36 26 + 10 = 36 26+10=36种可能,一个N位的密码,就会有 3 6 N 36^{N} 36N种排列组合。

xkw168
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AES 密码加密保存
yibanbairimeng的博客
01-11 2544
今天做了一个用AES进行密码加密的功能(不需要jar包 jdk自带) 详细步骤如下:  1.先用main方法测试一下,能否将密码加密package com.demo.util; import java.io.UnsupportedEncodingException; import java.security.InvalidKeyException; import java.security.N
文件加密存储
12-29
文件加密存储,实现对文件的加密与解密,以Linux命令的格式进行操作。
如何安全存储密码
coding
10-15 870
过去一段时间来,众多的网站遭遇用户密码数据库泄露件,这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,国内诸如CSDN一类的就更多了。    层出不穷的类似件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。    那么在选择密码存储方案时,容易掉入哪些陷阱,以及如何避免这些陷阱?我们将在实践中的一些心得体会记录于此,
一文教你如何在数据库中安全存储密码
最新发布
xnxqwzy的博客
05-16 1750
前言作者:神的孩子在歌唱大家好,我叫智让我们先谈谈什么不该做。不要以存储密码。任何具有数据库内部访问的人都可以看到它们。如果,攻击者可以轻松获取所有密码。那么,我们应该如何在数据库中安全存储密码呢。
密码加密存储方式
南山老沙
11-10 608
密码加密存储
数据加密存储
qq_37220802的博客
11-03 334
SSL加密是一种基于公钥加密和对称加密相结合的加密方式。SSL加密通过使用公钥加密对称密钥,然后使用对称密钥加密数据,从而保证了数据的安全性。TDE加密是一种在存储层面对数据库进行加密的方式。TDE加密可以保证数据在磁盘上的安全性,即使磁盘被盗或者数据被窃取,也无法读取数据。对称加密是最常见的加密方式之一,也是最简单的加密方式之一。对称加密的特点 是加密和解密使用相同的密钥。数据库加密技术可以加密整个数据库或仅加密敏感数据的列。归根结底就是对存储的数据加密,针对加密对象、加密方式有所不同。
laravel-envcoder:Laravel环境加密软件包
05-24
Laravel Envcoder 加密您的Laravel .env,以便可以将其安全存储在源代码管理中,并通过密码解密。 它被编写为可以在源代码管理中快速轻松地共享.env变量,而不必手动传递变量或在各种第三方服务中查找它们。 该...
易语言MYSQL密码加密源码-易语言
06-13
通常,服务器会保存一个密钥,用于解密数据库中存储加密密码。 4. **易语言编程**:易语言的语法简洁,适合初学者。源码可能包含了易语言的加密解密库的使用,以及与MySQL数据库交互的API调用。 5. **数据库交互...
BAT批处理脚本-加密解密-批处理不显示密码.zip
12-26
为了避免这种情况,这个脚本可能采用了某种方式来隐藏或者加密密码,例如使用环境变量、外部文件存储或者内部加密算法。用户在使用时需要将脚本文件从.txt格式转换回.bat格式,以确保脚本的执行功能。 加密和解密的...
CBC-AES的加密算法的实现
09-16
而CBC模式则是一种分组密码的工作模式,它将明文分组与前一个密文分组进行异或操作后再进行加密,以此来增加密码的安全性。这种模式下,即使两个明文块相同,它们的密文块也会因为前一个密文块的不同而不同。 在VS...
linux-使用GPG的简单密码管理器
08-13
2. 存储密码:每次添加新密码时,将其输入到`echo`命令后,然后加密到`passwords.gpg`: ``` echo "service:username:password" | gpg --append --output passwords.gpg --encrypt --recipient [your-email@...
密码保存工具
05-10
用C#做的一个安全笔记本,打开笔记时需要输入口令,用AES进行加密,有类似于OneNote的分区和笔记结构,喜欢的可以看看。使用的是VS2015。
本地密码加密保存实例 C#2008
01-19
本地密码加密保存 C#2008 当输入了密码后,按保存键即可将密码加密保存在本地.当程序再次运行后,将会自动读取密码并解密.以防止用户查看本地记录信息获取出密码.(在本测试程序中,为用户方便查看密码,设置了一个选项,可让密码字符串显示在界面中)
密码保存器(不带后门 数据本地保存
05-05
用于保存密码 可使用ILSpy反编译
密码加密保存
weixin_44538411的博客
06-28 810
开发工具与关键技术:VS软件,加密密码 作者:陈隆 撰写时间:2019年06月26日 每个人做的每一个项目中都需要设置一个账号密码来为用户保存重要的数据信息的,而每个人的密码是可以重复的,因为如果一个用户拥有多个账号,那么使用同一个密码就可以帮助用户减轻需要用脑记长长的密码,多个账号在使用同一个密码的情况下的安全性相对每个账号只有唯一的密码来说是比较不安全的,可以试想想如果一个密码给别人知道了...
文件存储加密和磁盘存储加密
weixin_45268511的博客
04-27 845
1、文件加密是指在操作系统文件驱动层,将数据库的存储文件经过加密存储到磁盘上。在数据存储文件被打开的时候进行解密,在数据落地后再进行加密,在具备基础加解密能力的同时,还能够根据操作系统用户或者访问文件的进程 ID 进行基本的访问权限控制。通过堆叠在其它文件系统之上(如 Ext2, Ext3, ReiserFS, JFS 等),为应用程序提供透明、动态、高效和安全加密功能。典型的是用于加密指定的目录。需要关注的是这种加密方式可能会产生较大的性能损失。2、加密位置:文件系统层。
用户密码加密存储十问十答,一文说透密码安全存储
JavaShark的博客
06-20 970
我们数据库的权限管理十分严格,敏感信息开发工程师都看不到,密码明文存储不行吗?不行。存储在数据库的数据面临很多威胁,有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的,想做到百分百不被黑客窃取,非常困难。如果密码加密之后再存储,那么即便被拖库,黑客也难以获取用户的明文密码。可以说,密码加密存储是用户账户系统的底裤,它的重要性,相当于你独自出远门时缝在内衣里钱,虽然你用到他们的概率不大,但关键时刻他们能救命。那用加密算法比如AES,把密码加密下再存,需要明文的时候我再解密。不行。这涉及到怎
数据加密存储常见的加密方式
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-21 6274
数据加密存储五种常见的加密方式先总结下:数据加密存储五种常见的加密方式:数据加密存储方式一、MD5加密加密不可逆)。数据加密存储方式二、Base64位加密(可加密也可解密)。数据加密存储方式三、sha1加密加密不可逆)。数据加密存储方式四、RSA加密(公钥加密,私钥解密)。数据加密存储方式五、AES加密(需要密钥才能解密)
Spring Boot对账号密码进行加密储存
wgq2020的博客
10-06 796
可以使用Spring Security框架提供的PasswordEncoder进行密码加密。通常可以使用BCryptPasswordEncoder或者其他加密算法进行加密。Spring Boot提供了一个方便的加密工具类,可以使用它对密码进行加密和解密。可以使用application.yml配置文件设置加密和解密的密钥。
WPF-本地保存登录账号密码
06-13
1.使用加密算法对密码进行加密,避免以明文形式保存在本地。 2.使用Windows自带的...无论采用哪种方法,都需要注意保护用户的隐私和安全,不要直接将账号和密码保存在本地,同时需要考虑密码加密和保护机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值