本文讨论了MD5并非真正的加密算法,而是散列函数,用于生成固定长度的摘要,不适用于安全存储密码。强调了仅用MD5存储密码的不安全性,并引入盐值的概念以增强密码安全性,指出盐值应随机且唯一。
我们一般来说是不保存原始密码,这样即使被拖库也不会造成用户数据损失,一般来说我们通常会使用 MD5 加密后保存,但是大家对于MD5是使用是否 是正确的呢?MD5 其实不是真正的加密算法。所谓加密算法,是可以使用密钥把明文加密为密文,随后还可以使用密钥解密出明文,是双向的。而 MD5 是散列、哈希算法或者摘要算法。不管多长的数据,使用 MD5 运算后得到的都是固定长度的摘要信息或指纹信息,无法再解密为原始数据。所以,MD5 是单向的。最重要的是,仅仅使用 MD5 对密码进行摘要,并不安全。
UserData userData = new UserData();
userData.setId(1L);
userData.setName(name);
//密码字段使用MD5哈希后保存
userData.setPassword(DigestUtils.md5Hex(password));
return userRepository.save(userData);
"password": "325a2cc052914ceeb8c19016c091d2ac"
即使多次的MD5也会不很安全。
userData.setPassword(DigestUtils.md5Hex(DigestUtils.md5Hex( password)));
"password": "ebbca84993fe002bac3a54e90d677d09"
所以保存 MD5 后的密码是不安全的,我们一般会加入盐值。但是盐值的生成是有一定规则的:
• 盐值是不能写死的。
userData.setPassword(DigestUtils.md5Hex("salt" + password));
"password": "58b1d63ed8492f609993895d6ba6b93a"
此时,黑客可以自己注册一个账号,使用一个简单的密码,比如 1,生成的密码是 "password": "55f312f84e7785aa1efa552acbf251db"
由此我们得知盐值就是salt
• 每个人的盐值不要设置相同,建议采用随机值
userData.setSalt(UUID.randomUUID().toString()); userData.setPassword(DigestUtils.md5Hex(userData.getSalt() + password));
536
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
