md5不安全!那如何保护密码?

最新推荐文章于 2023-12-01 01:33:46 发布
最新推荐文章于 2023-12-01 01:33:46 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: MD5 文章标签: MD5不安全

md5不安全!那如何保护密码?

密码安全的层级:

Level0:明文也就是不加密

usernamepassword
tom123456
注意:永远不要使用这种方式

Level1:摘要式身份验证

验证流程: 
- 1. 提交用户名密码 
- 2. 计算密码哈希值 
- 3. 比对存储的哈希值和计算出的哈希值是否相等
  • 相同:登陆成功
  • 不同:登陆失败
使用哈希算法(可以是md5, sha1, sha256,sha512 结果长度依次增长):
123456SHA-512ba3253876aed6b...
usernamepassword
tomba3253876aed6b…
哈希算法缺点: 
1. 容易遭受彩虹表(rainbow table, 如下)攻击!通过把大量的哈希值和原密码存储的组合存储在表中。达到用得到的hash值反向查询原密码。
hash_valueoriginal_password
ba3253876aed6b…123456
c70b5dd9ebfb6f…abc123
b109f3bbbc244e…password
2. 另外一个缺点是可以看到谁有相同的密码
usernamepassword
tomba3253876aed6b…
jerryba3253876aed6b…
3. 回应一下标题,md5作为密码已经十分不安全,现在网上有很多网站可以通过出入md5 的哈希码来查询对应的明文(通过彩虹表实现)。

Level2: 哈希+salt

salt可以简单的理解成:随机产生的一定长度的,可以和密码相结合,从而使hash算法产生不同结果的字符串。
123456 + 0x23f22(salt)SHA-512bc22711a45e73e5e50f8...
usernamesaltpassword
tom0x23f22bc22711a45e73e5e50f8…
优点:这种方法会极大防止受到彩虹表的攻击,因为即便攻击者构造出彩虹表,因为你使用了 hash(密码+ salt),攻击者彩虹表里的哈希值(hash(密码))和你数据库中的哈希值是不同的。 
缺点: 如果攻击者知道了salt和你的哈希值,就可以计算出你的原始密码(当然也没有那么容易)

Level3: 增加计算的时间 (哈希 + salt--盐 + Iteration--反复)

通过迭代计算的方式增加计算密码的成本。迭代的周期控制在用户可以接受范围内,这样攻击者的计算和时间成本就会大大增加。
123456 + 0x23f22(salt)SHA-512 (500000 times)bc6567567a45e73...
usernameiterationsaltpassword
tom5000000x23f22bc6567567a45e73…
类似的方法可以使用: BCript
hashed value = BCript(password,salt,cost factor)
123456 + 0x23f22(salt) + 10 (cost factor)BCriptbc6567567a45e73...
usernamepassword
tom$2a$10$rocuFOLJQLDDM12XMDJ32
注:一般的应用应用做到LEVEL3就可以了,如果需要更加安全的方式请看下文。

Level4: 加密哈希后的密码 Encrypt(BCript的结果)

密钥(Encryption key) + BCript的结果AES 256ox2c78a32f...
usernamepassword
tomox2c78a32f…
- 定时更换密钥(准备一组密钥定时更换,首先通过密钥解密加密存储的密码得到 bscript计算出的hash值,再用新的密钥进行加密) 
- 密钥存储在在不同的数据源 
(通过将密钥存储在不同的数据源的方法,进一步增加了破解难度,因为需要同时获得用户密码表数据,同时要获得其他数据源存储的密钥)

Level5: 在Level4的基础上,将密码分成若干个块,分发到不同的数据库

转发
殇莫忆
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用MD5加密后的字符串存密码安全吗?你不得不了解的Hash算法
m0_69916115的博客
07-29 776
Hash,一般翻译为散列、杂凑,音译为哈希。Hash是指将任意长度的输入经过Hash算法转化为固定长度的输出,该输出就是哈希值。它是不可逆的,不可以通过结果值计算出原值。整个Hash算法的过程就是把原始任意长度的值空间,映射成固定长度的值空间的过程。这个映射的规则就是对应的Hash算法,而原始数据映射后的二进制串就是哈希值。开发中经常使用的MD5和SHA都是历史悠久的Hash算法。...
md5加密安全
小乙先生的博客
04-10 8563
 一、MD5科普:Message Digest Algorithm MD5(中文名为消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。该算法的文件号为RFC 1321(R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992)。MD5即Message-Di...
不再安全MD5
no_donodie的博客
05-04 929
你是否思考过,比如我们的游戏账号、某些储蓄账户的各种数据都是存在别的数据库里的。万一他们中有某个带恶人,或是他们的数据库被攻破,那我们岂不是会有重大损失吗? 所以做开发或是还在学习阶段的你,应该早已听说了加密算法:MD5。或者更准确的说是一种信息摘要算法。那么你也应该早就听说它已经不在安全了吧。那又为什么时至今日它仍然没有被抛弃呢? 那么接下来,让我们尝试去破解MD5。 第一:直接解密 若我们想直接通过解密获取MD5加密的明文的话,这显然是不可能的。因为想要从密文中获取明文前提是加密过程中不会造成信
为什么使用 MD5 存储密码非常危险
过往记忆大数据
12-29 2803
很多软件工程师都认为 MD5 是一种加密算法,然而这种观点其实是大错特错并且十分危险的,作为一个 1992 年第一次被公开的算法,到今天为止已经被发现了一些致命的漏洞,我们在生产环境的任...
MD5安全
小汤圆
05-27 2237
普遍认为MD5是很安全,因为暴力破解的时间是一般人无法接受的。实际上如果把用户的密码MD5处理后再存储到数据库,其实是很不安全的。因为用户的密码是比较短的,而且很多用户的密码都使用生日,手机号码,身份证号码,电话号码等等。或者使用常用的一些吉利的数字,或者某个英文单词。如果我把常用的密码MD5处理,把数据存储起来,然后再跟你的MD5结果匹配,这时我就有可能得到明文。比如某个MD5破解网站http://www.cmd5.com/default.aspx,所以现在大多数网站密码的策略是强制要求用户使用数字大小
MD5Win-MD5文本密码生成.rar_md5_md5 生成_md5w_密码生成
09-20
MD5Win是一款用于MD5文本密码生成的工具,它在信息安全领域中有着广泛的应用。MD5,全称为Message-Digest Algorithm 5,是由美国...然而,需要注意的是,由于MD5安全性问题,不应将其用于密码保护等高安全性的需求。
微信小程序 MD5加密登录密码详解及实例代码
08-31
这样,用户输入的密码在发送到服务器之前就已经被MD5加密,提高了安全性。需要注意的是,虽然MD5算法在防止原始数据被还原方面相对安全,但它已不再被认为足够强壮,因为存在碰撞攻击的可能性。在现代密码学中,通常...
DES_MD5.rar_aodv_md5_安全
09-23
标题中的"DES_MD5.rar_aodv_md5_安全"提到了两个重要的密码学概念:DES(Data Encryption Standard)和MD5(Message-Digest Algorithm 5),以及它们在网络安全中的应用,特别是与AODV(Ad hoc On-demand Distance ...
前端密码加密 —— bcrypt、MD5、SHA-256、盐
技术前端,忠于热爱 @0.活在风浪里
07-24 9419
bcrypt、MD5、SHA-256、盐
MD5加密安全吗(解析MD5
m0_48144113的博客
10-20 3825
MD5 是 Message Digest Algorithm 的缩写,译为信息摘要算法,它是 Java 语言中使用很广泛的一种加密算法。MD5 可以将任意字符串,通过不可逆的字符串变算法,生成一个唯一的 MD5 信息摘要,这个信息摘要也就是我们通常所说的 MD5 字符串。那么问题来了,MD5 加密安全吗?
BCrypt加密介绍及实现(赶快收藏起来)
weixin_45131680的博客
11-21 1487
一种加盐的单向Hash,不可逆的加密算法,同一种明文(plaintext),每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。是不加盐的单向Hash,不可逆的加密算法,同一个密码经过hash的时候生成的是同一个hash值,在大多数的情况下,有些经过md5加密的方法将会被破解。Bcrypt生成的密文是60位的。而MD5的是32位的。目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5安全,但加密更慢。
密码加密技术—BCrypt
A1309673777的博客
11-16 1614
BCrypt是一种跨平台的文件加密工具,使用的是布鲁斯·施内尔在1993年发布的 Blowfish 加密算法。它是一种可生成随机盐值的单向Hash加密算法,Hash值中包含了上一步生成的盐值(22个字符)的不可逆加密算法。同一种明文,每次被加密后的密文都不一样,并且不可反向破解生成明文,破解难度非常大。BCrypt加密后的密文结构如下图所示:其中密文结构为:$是分割符, 2y是BCrypt加密版本号,10是cost的值,紧随其后的前22位是盐值(salt),最后的字符串就是密码的密文了。
使用MD5当做文件的唯一标识,这样安全么?
最新发布
猿长大人
12-01 1889
MD5(Message Digest Algorithm 5)是一种常用的哈希函数,用于将任意长度的数据映射为固定长度的哈希值。它广泛应用于数据完整性验证、密码存储等领域。
BCrypt算法的基础使用
m0_53856016的博客
11-10 893
使用同一个原文进行反复编码,每次得到的结果都是不同的,因为在编码过程中,BCrypt使用了随机的盐,并且,使用的盐也作为编码结果的一部分保存了下来。随机生成一个含有29个字符的字符串,并且会与密码一起合并进行最终的密文生成。BCrypt算法是一种基于哈希算法的算法,所以,这种算法也是不可逆的!密码并未改变都是123456,而加密后的密文每一次的结果都不同的。通过BCrypt算法进行编码后的结果,长度固定为60字符。可以看出生成的不同密文最终的匹配结果都是true.每一次生成的盐的值都是不同的。
BCrypt加密的原理,以及常见的加密算法
qq_41174684的博客
05-14 2万+
BCrypt加密:是一种加盐的加密方法,MD5加密时候,同一个密码经过hash的时候生成的是同一个hash值,在大数据的情况下,有些经过md5加密的方法将会被破解.使用BCrypt进行加密,同一个密码每次生成的hash值都是不相同的。每次加密的时候首先会生成一个随机数就是盐,之后将这个随机数与密码进行hash,得到 一个hash值存到数据库中使用的函数是BCrypt.hashpw(password...
浅谈BCrypt算法
weixin_72125569的博客
09-05 2228
BCrypt算法的简单使用
数字签名算法中MD5withRSA
热门推荐
cuichunchi的博客
12-22 2万+
package Encoder.digestSign; import java.security.InvalidKeyException; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.securit
一个密码经过多次MD5加密能否提高安全性?Java MD5盐值加解密
weixin_30425949的博客
05-29 989
什么是MD5? MD5(Message Digest Algorithm 5,信息摘要算法5),是计算机广泛使用的摘要算法(又称哈希算法)之一。MD5是将一段信息,通过其不可逆的字符串变算法,产生了唯一的MD5信息摘要(16位或32位固定长度的字符串)。即同一明文一定生成固定的密文。 为了防止用户登录密码泄露,数据库存储的密码不能是明文,即使数据库泄露了密码也不能直接泄露。通常的做法是...
加强路由器安全:禁用密码与启用MD5加密
总结来说,保护路由器口令和提升路由器的整体安全性需要多方面的措施,包括但不限于更新密码策略、增强路由协议的安全性、物理安全控制以及优化服务配置。这些措施可以显著降低网络遭受攻击的风险,从而保护整个网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值