后端面试之系统设计 - 用户密码如何储存在DB里

最新推荐文章于 2023-04-24 08:33:49 发布
最新推荐文章于 2023-04-24 08:33:49 发布
阅读量651 收藏 2
点赞数 2
分类专栏: 系统设计 面试题 文章标签: 面试 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/majianfei1023/article/details/128438816
版权
本文探讨了密码安全储存的方法,包括避免明文存储,使用对称加密和非对称加密的风险,以及MD5等Hash函数加密的优缺点。重点讲述了加盐(Salt)的MD5方法和Bcrypt算法,强调加盐可以抵抗彩虹表攻击,而Bcrypt的慢哈希特性增加了破解难度,确保了密码的安全性。
摘要由CSDN通过智能技术生成

原文地址:码农在新加坡的个人博客

背景

现在很多网站都因为爆库导致密码泄漏,要设计怎么样的密码储存机制,才能保证最大限度的不被盗取,即使数据泄漏,黑客也无法在短时间内获取对应的密码来登录用户的账号,而造成损失。

这篇博客就来讲解密码储存的过程。

明文储存密码

username password
aaa 123456
bbb qwerty
ccc password
ddd 111111

假设我们有一张用户表,储存usernamepassword,密码我们是明文储存的。为什么这么不安全呢?

  1. 如果遭遇数据泄漏事件,明文密码将用户隐私完全暴露,任何人都可以登录暴露密码的账号,随意更改。
  2. 密码容易被网站的内部人员得知并获取;也就是内部员工也可以轻易访问用户的明文密码。可能会做一些违法的事情,所以网站基本不会明文储存密码。

当然也有例外,看下这个条新闻:

Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2012, KrebsOnSecurity has learned. Facebook says an ongoing investigation has so far found no indication that employees have abused access to this data.

Facebook 明文存储用户密码,大约有2亿~6亿的用户受到影响,预计超过2万名Facebook员工可检索这些村文本密码 Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years

所以说,明文储存密码是很不安全的,正常来说现在没有人会这么用。(以前经常还会爆出来)

用对称加密或者非对称加密函数加密储存密码

我想大部分人都了解对称加密和非对称加密,那么用这两种加密算法可不可行呢?
在这里插入图片描述

对称加密

在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。

密钥需要安全储存,否则就有严重的泄漏风险。

非对称加密

非对称加密是一份明文

最低0.47元/天 解锁文章
「已注销」
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA APP——密码加密后端存储
周绍禹-whuiss
04-21 5221
一个简单的应用,从python回到JAVA,重新熟悉下JAVA,另外方面前段时间看完设计模式不用上的感觉很快就忘记了,想从设计及开发上多应用下。 一、需求  平常注册的网站多了,或者小号或者账号等多了,主要怕一些网站明文传输的,很多密码都是临时的那种,但是后面要用又想不起来, 故想做这么个简单应用本地将密码做RSA加密,然后根据网站域名和账号保存到远端存储上。 本来是考虑用有道云笔记的
服务器私钥存在哪个文件夹,如何获取云服务器时使用的私钥文件
weixin_42470300的博客
08-08 2175
如何获取云服务器时使用的私钥文件 内容精选换一换通过云服务器或者外部镜像文件创建私有镜像时,如果云服务器或镜像文件所在虚拟机的网络配置是静态IP地址时,您需要修改网卡属性为DHCP,以使私有镜像发放的新云服务器可以动态获取IP地址。不同操作系统配置方法略有区别,请参考对应操作系统的相关资料进行操作。使用外部镜像文件创建私有镜像时,设置网卡属性操作需要在虚拟机内部完成,建议您在原平台的虚请根据您的实...
2022年了,密码该如何保存都不会?
weixin_45987961的博客
02-07 7815
我们在开发应用时,只要涉及到用户,登录注册功能则是必不可少的。 但是,并不是所有人都能做好登录注册功能。比如最基本的密码应该如何保存?应该用哪种加密方式对密码进行加密都不是很清楚。 一旦出现数据库泄漏,密码外泄等问题,会对用户造成极大的损失。 密码该如何保存? 如果我们要在服务器中对用户进行身份验证,我们需要完成以下的步骤: 获取到要登录用户用户名和密码; 根据用户名在数据库中查找到用户; 比较用户提供的密码数据库中的密码是否一致。 那我们应该如何存储用户密码呢?我们来看看都有哪些方式..
公钥和私钥存储位置
weixin_30794851的博客
02-21 6149
一般都存在 ~/.ssh 下 转载于:https://www.cnblogs.com/cjjjj/p/10414224.html
java毕业设计之日记本系统(源码+LW).zip
03-19
- **数据库**:使用SQL(Structured Query Language)语言,通过db_diary.sql文件进行数据库设计和初始化,存储用户信息、日记内容和类别信息等。 - **文档**:Jsp日记本.doc和java说明文档.docx提供了系统的...
leetcode中文版-BackEndNotes:后端注释
06-29
主要包括编程语言C++、Go、Python等,数据结构和算法,系统,网络,数据库MySQL、Redis、MangoDB等,设计模式,消息队列Kafka、RocketMQ等,搜索引擎Elasticsearch,系统设计面试相关等。 :GitHub,推荐外网速度...
华为售前+IT+存储方向,HCSA-Presales-IT
04-04
这些题目涵盖了华为售前IT存储方向的多个知识点,主要涉及华为的数据存储产品特性和功能,如Oceanstor系列、Fusioncube系列、GaussDB数据库系统以及Fusioninsight大数据平台。下面将对这些知识点进行详细解释: 1. ...
campus-recruitment-system:使用DJANGO sqlite3 db的校园招聘系统
04-30
【标题】:“campus-recruitment-system:使用DJANGO sqlite3 db的校园招聘系统” 这个标题表明我们正在讨论一个专门用于校园招聘的系统,它基于Django框架构建,并使用sqlite3作为数据库管理系统。Django是一个高级...
移动公司的数据库面试题--有答案
03-27
本资源摘要信息涵盖了移动公司的数据库面试题,涵盖了数据库的基本概念、数据库设计数据库管理系统数据库性能分析等多个方面的知识点。 数据库基本概念 1. 目前比较流行的商用数据库包括 SQL Server 2008、...
php nl2p,前端javascript通过RSA公钥加密,PHP后端通过RSA私钥解密实现密码安全传输...
weixin_39636717的博客
03-10 122
很多网站包括大型网站在重要信息比如密码依然还是采用明文传输的方式,安全隐患需要注意。当然,为了防止第三人的恶意窃听,不少网站已经启用了HTTPS的加密传输。下面我们来做,http协议通过RSA来给重要信息加密。一、创建私钥和公钥1、我的上篇文章《phpStudy OpenSSL 生成RSA加解密所需要的公私钥?》可以创建私钥和公钥2、通过支付宝一键生成工具:https://docs.open.al...
Java后端生成RSA随机密钥对,并实现前端(app和web)使用公钥加密,后端使用私钥解密
weixin_42023666的博客
04-30 9181
最近在思考网站登录注册时,如何保证用户密码即使在传输过程中被劫持和破解(我常常喜欢将HTTP和HTTPS比作是押运公司,其功能是护送客户端与第三方服务器之间的交互数据,但是即便是强大如HTTPS,恐怕也不可能百分百保证数据的传输安全吧!况且,这家押运公司还是属于公共的收费服务,假如你托人家运输一箱RMB现金,然后装RMB的是快递用的纸箱,求你此刻的内心忐忑不?假设HTTPS请求仍有...
如何安全存储用户密码/数据库安全存储密码的方式
稻草人的格子衫
03-07 1万+
总的来讲,目前公认比较安全的存储密码方式是PBKDF2, BCrypt 或 SCrypt 算法产生的密码。历史上密码加密存储经历了如下几个阶段:1. 单向hash(MD5) 做单向的hash加密,以MD5和sha算法为代表,这类做法比明文直接存储看起来要安全,但是如果在db被攻破的时候,以目前计算机的算力加之黑客的各种技术手段,其实跟明文是差别不大的,我们知道密码面破解密码最笨的一种方法...
RAS算法,JS公钥加密,JAVA私钥解密
干掉熊猫我就是国宝
03-06 2384
总体思路:前端用公钥加密,后端私钥解密rsa.html 展示了js进行加密、解密的过程RSAUtil.java 是一个java类,后端用到的RSA加解密工具类,面包含了一个main方法,可以允许进行测试一般范式 1、前端请求后端生成RSA公钥信息; 2、后台端可以利用RSAUtil.java生成的RSA信息,将私钥自己存起来,将公钥返回给前端 3、前端拿到公钥,进行加...
数据库设计】login.ui界面的pymysql连接&md5存储密码数据库实现
share something here
07-21 470
数据库设计】login.ui界面的pymysql连接实现关于命令行mysql启动SERVER:CLIENT:关于能否防范SQL注入SQL语句字符串拼接查询参数化查询最基础的连接 关于命令行mysql启动 从Windows命令行启动MySQL SERVER: 从Windows命令行启动MySQL 可以从命令行手动启动MySQL服务器。可以在任何版本的Windows中实现。 要想从命令行启动mysqld服务器,你应当启动控制台窗口(或“DOS window”)并输入命令: C:\> C:\Program
【MySQL】之用户管理
王廷云的博客
05-11 2895
目录 一、用户管理 1、查看用户 2、创建用户 3、修改用户 4、删除用户 二、用户权限管理 1、查看用户权限 2、添加用户授权 3、删除用户权限 一、用户管理 1、查看用户 用户信息存放在 mysql 数据库下的 user 表(MySQL 服务下存在一个系统自带的 mysql 数据库)。 切换到 mysql 数据库: USE mysql; 查看用户名及其对应的 host: SELECT `user`, `host` FROM `user`; +---------------+-
秘钥的存储方式
最新发布
记录 IT 领域经验与见解的博客
04-24 2241
不同的存储方式具有不同的优缺点,需要根据实际情况选择合适的存储方式。应用程序可以提供安全的存储空间,例如加密数据库、加密文件等,可以保护存储的秘钥不被恶意软件攻击。将秘钥存储在操作系统中是一种比较安全的存储方式。秘钥的存储方式有很多种,包括硬件存储、软件存储、网络存储等。不同的存储方式具有不同的优缺点,需要根据实际情况选择合适的存储方式。将秘钥存储在专用服务器中是一种比较安全的网络存储方式。将秘钥存储在云存储中是一种比较常见的网络存储方式。云存储可以提供安全的存储空间,可以保护存储的秘钥不被黑客攻击。
常见的用户密码在后台数据库中加密存储方式
热门推荐
g270382086的博客
04-21 2万+
转载自:https://blog.csdn.net/ctrip_tech/article/details/80125741 一、用户密码加密 用户密码保存到数据库时,常见的加密方式有哪些,我们该采用什么方式来保护用户密码呢?以下几种方式是常见的密码保存方式: 1、直接明文保存,比如用户设置的密码是“123456”,直接将“123456”保存在数据库中,这种是最简单的保存方式,也是最不安全的方式。但实际上不少互联网公司,都可能采取的是这种方式。 2、使用对称加密算法来保存,比如3DES、AES等算法,使用这
如何安全的存储用户密码
dreaming9420的博客
03-20 7157
文章目录1、明文存储(极不推荐)2、使用MD5或其它算法哈希后存储(较不推荐)3、加盐后哈希存储(较推荐)4、使用BCrypt算法加密后存储(非常推荐)5、Spring Boot中使用jbcrypt对明文进行加密 1、明文存储(极不推荐) 这种设计思路非常简单,但是缺陷也非常明显,数据库一旦泄露,那么所有用户名和密码都会泄露,后果非常严重。 2、使用MD5或其它算法哈希后存储(较不推荐) MD5算法的原理可简要的叙述为:MD5码以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经
ISDB-T系统TS流编码解码软件设计解析
"ISDB-T系统TS码流编解码的软件设计与实现" 本文档是刘丹在其导师陈伟教授指导下完成的工学硕士学位论文,主要探讨了ISDB-T(集成服务数字广播-地面)系统的TS(Transport Stream,传输流)码流的编解码技术。ISDB-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值