内容转自http://blog.163.com/for_fun_zz@126/blog/static/168376345201261491230677/
系统用户密码以明文存储十分不安全,一般都需要对其进行加密,比较常用的有base64加密。
base64加密原理:
将原来的字符串变为byte[],通常八位二进制码表示一个字符。base64加密算法6位的取二进制码,在其前面加00,组成新的字符串。这样就对原字符串进行的简单的加密,解密就是相应的逆向工程。
PBKDF2加密:
美国国家标准与技术研究院推荐。
可以通过调整key来扩展,从而避免暴力破解。通过key扩展的基本思路是,在将密码哈希后,再使用key加上哈希值再使用相同的算法进行多次的哈希。如果黑客尝试去破解的话,他会因此多花费几十亿次计算的时间。前面提到过,越慢越好,PBKDF2可以通过指定迭代次数,你想让他多慢,他就有多慢。
通过加盐的方式预防彩虹表的破解方式。盐是一个添加到用户的密码哈希过程中的一段随机序列。这个机制能够防止通过预先计算结果的彩虹表破解。每个用户都有自己的盐,这样的结果就是即使用户的密码相同,通过加盐后哈希值也将不同。然而,在将盐与密文存储的位置上有很多矛盾的地方,有的时候将两者存在一起比较方便,有的时候为了安全考虑又不得不将两者分开存储。由于PBKDF2算法通过key的机制避免了暴力破解,我觉得没必要将盐隐藏起来,就跟密文存储在同一个位置。
不需要额外的库或者工具,这是一个开源的实现,在工作环境中能很方便的使用。
流程是这样:
当增加一个用户的时候,调用generateSalt()生成盐,然后调用getEncryptedPassword(),同时存储盐和密文。再次强调,不要存储明文密码,不要存储明文密码,因为没必要!不要担心将盐和密文存储在同一张表中,上面已经说过了,这个无关紧要。
当认证用户的时候,从数据库中取出盐和密文,将他们和明文密码同时传给authenticate(),根据返回结果判断是否认证成功。
当用户修改密码的时候,仍然可以使用原来的盐,只需要调用getEncryptedPassword()方法重新生成密文就可以了。
1045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
