密码加盐的设计理念?

最新推荐文章于 2024-08-30 09:03:49 发布
最新推荐文章于 2024-08-30 09:03:49 发布
阅读量74 收藏
点赞数
文章标签: 密码加盐的设计理念? Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73874527/article/details/129536739
版权
文章讲述了常规登录认证的安全隐患,如明文存储密码和未加密的数据传输。然后介绍了通过MD5加密和加盐处理来增强安全性,但MD5仍可被解密。最后,提出了使用BCrypt算法,它内置加盐且能抵抗暴力破解,提高了密码的安全存储和传输。
摘要由CSDN通过智能技术生成

1、首先介绍一下常规的登录认证(非安全性)

l数据库表如下所示:

<form action="index.jsp" method="post">

账号:<input type="text" name="username"/><br/>

密码:<input type="password" name="password"><br/><br/>

<input type="submit" value="提交"><br/>

</form>

l 用户通过表单提交用户名,密码两个字段查询数据库匹配,实现登录认证功能,但存在的安全隐患问题太多:

(1)数据库密码以明文的形式进行存储。

(2)数据传输的过程中未对数据进行加密处理。

2、针对以上两个问题进行分析和解决

l 安全加密:首先对数据库表的password字段进行摘要md5处理,sql语句如下:

l md5加密后的数据

l 数据库密码加密后,校验的逻辑就发生了些变化,需要对提交的密码进行加密之后再做对比,但是这样子还是不安全。

  1. 通过以上步骤,我们只对数据库的password明文字段进行了简单的MD5加密,进入http://www.cmd5.com/ 输入加密后的密文进行解密后可以得到明文密码

(2)容易根据密文位数推测算法,从而使用工具破解。

(3)真实密码相同,加密过的密码也相同。

3、接下来我们介绍一下对其进行加盐处理

l 在表中添加一列salt字段(盐),内容随意输入23sd2,然后和原来的明文密码123456结合,再进行md5加密

说明:所谓的salt字段就是一个随机的字段,具体随机算法就不讨论了,每当用户注册账户时,后台就给它随机生成一个不同的字段,然后根据password和salt字段结合进行摘要处理,存在数据库表中的password字段,这样一来,原来明文都是123456生成的密文就不一样了。

以上的步骤我们只是对数据库进行了加密,为了防止用户输入密码在传输的过程中被抓包工具获取,我们还要在密码传输的过程中进行加密,这样可以使得获取到的也是密文。

4、最后介绍下BCrypt加盐加密

l 经过BCryptPasswordEncoder加密后的内容,不需要专门的salt字段存储盐,而是在密文中。

l BCrypt密码图解

l Bcrypt有四个变量:

saltRounds: 正数,代表hash杂凑次数,数值越高越安全,默认10次。

myPassword: 明文密码字符串。

salt: 盐,一个128bits随机字符串,22字符

myHash: 经过明文密码password和盐salt进行hash

l 如何校验正确性

在校验时,从密文中取出盐salt,salt跟password进行hash,得到的结果跟保存在DB中的hash进行比对。

虾仁二货
关注
MD5加盐算法 含mysql数据库
04-05
一个简单的MD5加盐算法,对存入数据库的密码进行加密达到保护用户信息的作用
密码加盐设计
weixin_69620038的博客
03-16 294
由于密码是由用户设定的,在实际应用中,用户设置的密码复杂度可能不够高,同时不同的用户极有可能会使用相同的密码,那么这些用户对应的密文也会相同,这样,当存储用户密码的数据库泄露后,攻击者会很容易便能找到相同密码的用户,从而也降低了破解密码的难度,因此,在对用户密码进行加密时,需要考虑对密码进行掩饰,即使是相同的密码,也应该要保存为不同的密文,即使用户输入的是弱密码,也需要考虑进行增强,从而增加密码被攻破的难度,而使用带盐的加密hash值便能满足该需求。对于同一密码,同一加密算法会产生相同的hash值。
密码加盐设计理念
m0_73876302的博客
04-13 53
加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联。无论何时只要口令改变,随机数就改变。随机数以未加密的方式存在口令文件中,这样每个人都可以读。不再只保存加密过的口令,而是先将口令和随机数连接起来然后一同加密,加密后的结果在口令文件中。盐字符串是要存到数据库中的。在登录的时候还需要将用户的原文密码与这个盐字符串进行组合加密之后才能进行密码的匹配。
1. 密码加密和加盐设计区别
king220022的博客
04-06 151
随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。而采用的额外的安全措施,如先进的身份验证,将有助于阻止未经授权的用户。虽然可能技术人员改变加密的数据,但收件人的数据还是能够检测到其漏洞,这将遭遇一个快速响应的网络攻击。即使黑客有密文查询到的值,也是加了salt值的密码,而非用户设置的密码。在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。
加盐hash保存密码的正确方式
lxf0613050210的博客
01-31 562
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发 生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码 hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多
易语言源码易语言另类密码保存源码.rar
02-18
5. **安全性增强**:除了基本的加密外,还可以通过盐值加盐、多次哈希等方式增加密码的安全性。易语言可能需要调用外部库或自行实现这些高级安全功能。 6. **错误处理**:良好的编程实践还包括处理可能出现的错误...
易语言实现五百丁平台登录与密码加密
3. JavaScript中处理密码计算的方式,可能包括但不限于密码的哈希处理、加盐等安全措施。 4. 如何在易语言中嵌入JavaScript代码,并利用易语言的五百丁模块来实现网络请求。 5. 用户登录过程中密码安全性的保障,...
易语言源码帐号密码管理易语言源码.rar
03-30
易语言提供了加密解密的相关函数,可以用于对用户输入的密码进行哈希运算(如SHA256)和加盐处理,以确保即使数据库被泄露,原始密码也无法被轻易恢复。 3. 用户界面:账户密码管理系统通常会有一个友好的图形用户...
【系统架构设计师】论文:论信息系统的安全性与保密性设计
数据知道的博客
08-30 3390
我所在公司承接了一款养老管理信息平台,该系统以养老为主线,其中包括养老档案、照护计划、服务审计、状况跟踪、费用管理等方面的60多个业务功能模块,我在项目中担任系统架构设计师,主要负责整个系统的架构设计。本文以该养老管理信息平台为例,主要论述了针对该系统的安全及保密性问题,我们所采用的技术手段及解决方案。在网络硬件层通过设置硬件防火墙,来保证内部网络安全性;在数据层通过设置数据加密及容灾备份机制,以此保证数据抗突发风险的安全;
密码如何“加盐加密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7702
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密和解密吧~
Java使用MD5加盐密码进行加密处理,附注册和登录加密解密处理
热门推荐
见证自己学习,成长的记录
02-21 1万+
在开发的时候,有一些敏感信息是不能直接通过明白直接保存到数据库的。最经典的就是密码了。如果直接把密码以明文的形式入库,不仅会泄露用户的隐私,对系统也是极其的不厉,这样做是非常危险的。那么我们就需要对这些铭文进行加密。盐(salt)一般是一个随机生成的字符串或者常量。我们将盐与原始密码连接在一起(在前面或后面都可以),然后将拼接后的字符串加密。salt这个值是由系统随机生成的,并且只有系统知道。即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,散列值也是不同的。
密码加盐加密存储及其登录验证方式
Guevara的博客
01-05 3683
本文介绍一种常用的密码加密存储方式,并附上登录时验证用户密码的方法。代码用 Java 来实现,结尾附带有 github 的源码链接。用户注册账号,填写好密码后传递到后端。密码的形式一般是经过前端 md5 加密过的。登录校验根据账号来获取它的盐并且和登录时输入的密码求hash,此 hash 值和数据库存取的 hash 值相等则密码校验通过。
为什么需要对数据“加盐”处理
u012724065的博客
06-04 1万+
直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图: 如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。 那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
11-04
基于java的贝儿米幼儿教育管理系统答辩PPT.pptx
课设毕设基于SpringBoot+Vue的养老院管理系统的设计与实现源码可运行.zip
11-04
本压缩包资源说明,你现在往下拉可以看到压缩包内容目录 我是批量上传的基于SpringBoot+Vue的项目,所以描述都一样;有源码有数据库脚本,系统都是测试过可运行的,看文件名即可区分项目~ |Java|SpringBoot|Vue|前后端分离| 开发语言:Java 框架:SpringBoot,Vue JDK版本:JDK1.8 数据库:MySQL 5.7+(推荐5.7,8.0也可以) 数据库工具:Navicat 开发软件: idea/eclipse(推荐idea) Maven包:Maven3.3.9+ 系统环境:Windows/Mac
基于java的消防物资存储系统答辩PPT.pptx
11-04
基于java的消防物资存储系统答辩PPT.pptx
【java毕业设计】饮食营养管理信息系统源码(springboot+vue+mysql+说明文档).zip
最新发布
11-04
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
springsecurity密码加盐
09-07
在 Spring Security 中使用密码加盐是一种常见的安全策略,可以增加密码的强度,防止彩虹表攻击。下面是一个简单的示例代码,演示了如何使用密码加盐: 首先,确保你已经添加了 Spring Security 的依赖包。 在你的用户实体类中,一般是实现了 UserDetails 接口的自定义 User 类,可以添加一个额外的字段用于保存密码的盐值。例如: ```java @Entity @Table(name = "users") public class User implements UserDetails { // 其他属性... @Column(name = "salt") private String salt; // getter 和 setter 方法... } ``` 接下来,在用户注册或者密码更新时,需要生成一个随机的盐值,并将盐值与密码进行混合计算并保存。可以使用 Spring Security 提供的 PasswordEncoder 接口来完成。例如: ```java @Autowired private PasswordEncoder passwordEncoder; public void registerUser(User user, String rawPassword) { // 生成随机盐值 SecureRandom random = new SecureRandom(); byte[] saltBytes = new byte[16]; random.nextBytes(saltBytes); String salt = Base64.getEncoder().encodeToString(saltBytes); // 将盐值保存到用户实体类中 user.setSalt(salt); // 对密码进行加盐加密 String encodedPassword = passwordEncoder.encode(rawPassword + salt); user.setPassword(encodedPassword); // 保存用户信息 userRepository.save(user); } ``` 这样,密码就被加盐后保存在数据库中。在用户登录时,可以使用相同的密码加盐方式进行验证。例如: ```java @Autowired private PasswordEncoder passwordEncoder; public boolean authenticate(String username, String rawPassword) { User user = userRepository.findByUsername(username); if (user != null) { // 获取用户保存的盐值 String salt = user.getSalt(); // 对用户输入的密码进行加盐加密 String encodedPassword = passwordEncoder.encode(rawPassword + salt); // 比较加密后的密码是否与数据库中保存的密码相同 return encodedPassword.equals(user.getPassword()); } return false; } ``` 这样,就可以使用密码加盐来增加密码的安全性了。希望对你有所帮助!如果你有其他问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值