迭代慢hash密码让你的用户更放心

最新推荐文章于 2023-04-20 23:16:48 发布
最新推荐文章于 2023-04-20 23:16:48 发布
阅读量1k 收藏 1
点赞数
分类专栏: 迭代慢hash加密 文章标签: 加密解密 boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36655073/article/details/105908233
版权

前言

项目中,用户的登录密码怎么保存呢?明文?MD5加密?MD5加盐?其实这些做法都不是很好的选择!原因如下:

  • 明文肯定是不可取的,一旦数据库被“脱裤”了,基本上用户信息就完蛋了
  • 简单的MD5加密安全性上只比明文高一点,为什么呢?只要你有一个MD5加密集,对照数据库里的密文,很容易就能把密码破解出来!常用的手段就是:字典破解、彩虹表
  • MD5加盐,其实就是在生成密码MD5值的时候,随机拼接一个字符串(盐值)。对比解密的时候,将这个盐值也参与计算,从而能将密码的安全性再提高一些。但还是解决不了字典破解的问题。

迭代慢hash

慢哈希,其实就是指执行这个哈希函数非常慢,这样暴力破解需要枚举遍历所有可能结果时,就需要花上非常非常长的时间,但是也只是针对攻击者而言,穷举密码的时候会很慢,有目的的对比其实是很快的。最好对不同用户的密码随机生成不同的salt,salt库和密码库分离开。
下面就给大家具体来实现一把,不能光说不练是吧!!!

首先肯定要修改上次的表结构了,毕竟上次都没有密码这个字段,好尴尬

修改后的表结构

CREATE TABLE `t_user` (
  `userid` varchar(64) COLLATE utf8_bin NOT NULL COMMENT '用户id主键',
  `password` varchar(255) COLLATE utf8_bin DEFAULT NULL COMMENT '登录密码',
  `name` varchar(64) COLLATE utf8_bin DEFAULT NULL COMMENT '姓名',
  `gender` bit(1) NOT NULL COMMENT '性别:0男性 1女性',
  `age` int(11) DEFAULT NULL COMMENT '年龄',
  `createDate` datetime DEFAULT NULL COMMENT '创建时间',
  `role` varchar(255) COLLATE utf8_bin NOT NULL DEFAULT '0' COMMENT '角色:0普通用户 1管理员',
  PRIMARY KEY (`userid`),
  UNIQUE KEY `userid_index` (`userid`) USING BTREE COMMENT '用户id索引,方便根据id查询'
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin;

加盐迭代慢Hash工具类

这个我也是在网上找到的(不邀这个功了),不过还是很好用的

package com.zyu.boot.demo.utils.pwd;

import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import java.math.BigInteger;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;

/**
 * 迭代慢hash生成密码
 */
public class PasswordHash {
   
    public static final String PBKDF2_ALGORITHM =
最低0.47元/天 解锁文章
zyufocus
关注
专栏目录
用户密码加密存储十问十答,一文说透密码安全存储
KHOST的博客
07-03 1831
我们数据库的权限管理十分严格,敏感信息开发工程师都看不到,密码明文存储不行吗? 不行。存储在数据库的数据面临很多威胁,有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的,想做到百分百不被黑客窃取,非常困难。 如果密码是加密之后再存储,那么即便被拖库,黑客也难以获取用户的明文密码。可以说,密码加密存储是用户账户系统的底裤,它的重要性,相当于你独自出远门时缝在内衣里钱,虽然你用到...
安全防护之加盐哈希加密
weixin_30381317的博客
01-20 282
彩虹表的反推,使md5加密也不安全了,所以一些的程序员想出了个办法,即使用户密码很短,只要我在他的短密码后面加上一段很长的字符,再计算 md5 ,那反推出原始密码就变得非常困难了。加上的这段长字符,我们称为盐(Salt),通过这种方式加密的结果,我们称为加盐 Hash。比如:md5(md5(password)+salt) 但是这种也不是特别安全,假如攻击者拿到了salt,然后穷举出6...
迭代哈希
yuanyuanmmm的专栏
03-22 1084
迭代哈希怎么玩啊。。。数组作为哈希表A的值,哈希表A作为另一哈希表B的值 终于搞定了。。。得记录下  #!/usr/bin/perl -w sub gettime {  my $line = $_[0];  my @temptime =split(/timestamp/,$_);  $temptime[1] =~s/\>//;  $temptime[1] =~s/\  $te
哈希函数
perseverancep的博客
02-16 1398
希实现原理和常用算法 所有的字符串哈希算法都是基于对字符编码的迭代运算,只是运算规则不同而已。 1)BKDRHash算法 // BKDR Hash Function unsigned int BKDRHash(char *str) {     unsigned int seed = 131; // 31 131 1313 13131 131313 etc..     unsigned int ha...
Hash函数理解
幸福诗歌的博客
05-12 8284
哈希函数(Hash)  又称为 散列函数、散列算法、杂凑函数等  是一种单向密码体制:从明文到密文的不可逆映射  可将任意长度的输入变换为固定长度的输出  生成消息的“数据指纹”(也称消息摘要或散列值), 在数据完整性认证和数字签名等领域有广泛的应用 分类:  改动检测码MDC(Manipulation Detection Code)  不带密钥哈希函数,检测消息有无篡改
现代密码学:Hash函数Keccak
ayang1986的专栏
05-06 6578
Hash函数的核心在于设计压缩函数。可以证明,如果压缩函数具有抗碰撞能力,那么迭代Hash函数也具有抗碰撞能力。 2007年起,NIST开始向全球征集新的安全Hash算法SHA-3,最后的优胜者是Keccak。Keccak以及SHA-3在正式成为标准之前有很多不同程度的改,我想这也是网上有关Keccak和SHA-3算法的资料都多多少少不太一致的原因。本文仅介绍Keccak-224/256/384...
加密技术的未来:从服务端密码存储到用户数据加密方案
u013591126的博客
03-12 1046
经作者授权转载,原文链接,作者:Roronoa Zoro 本文主要讲常见场景的数据加密方案,以及对未来加密技术的展望,先看几条新闻: Facebook 明文存储用户密码: Hundreds of millions of Facebook users had their account passwords stored in plain text and searchable by thousands of Facebook employees — in some cases going back to 2
KeePass搭建一个私人密码
weixin_46202629的博客
04-20 899
既然有人想看那我就不咕了嘻嘻不知道在哪部电影里看到过这样一句话:根据社会工程学,正常人人脑是不会记住超过3种以上完全不同的复杂密码所以你只要泄露一个密码,就能基于这个密码推导从而破解大部分你其他的密码何况大部分人不同账号密码都是相同的(说的就是我哈哈哈)之前我看到这里的时候大为震惊但是却又无可奈何,因为使用完全不同的复杂密码成本太大了,直到我知道了密码管理器。
算法及密码
zhoujabcd的博客
08-19 1063
密码起源 密码学(在西欧语文中,源于希腊语kryptós“隐藏的”,和gráphein“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。密码学是信息安全等相关议题,如认证、访问控...
几个比较著名的哈希算法
07-07
几个比较著名的哈希算法,还有哈希算法的概念以及如何优化哈希值的分布,在日常软件开发中十分有用
Hash函数的应用
weixin_43289702的博客
11-06 647
文包括:Hash函数的应用:消息认证,数字签名,其他。攻击相关。 . 消息认证 MAC是哈希函数和加密函数的结合。 现实中,往往使用比加密算法效率高的MAC算法。 . 数字签名 对哈希值签名。 . 其他 生成单向口令文件(如手机指纹) 入侵检测和病毒检测 伪随机数发生器,PRNG。 . 攻击 抗原象攻击(单向性) 抗第二原象攻击(弱抗碰撞性) 抗碰撞攻击(强抗碰撞性) 生日攻击 0.5概率:√N次,2m/2次。 抗原象攻击 2m 抗第二原象攻击 2m 抗碰撞攻击 2m/
快速哈希算法破坏了加密的安全性
weixin_33953249的博客
08-07 133
像MD5、SHA和SHA1之类的快速哈希算法的用意并不在安全性——保护重要的信息,特别是密码,哈希算法必须有意地减反向暴力破解速度。Troy Hunt是一位微软的MVP,它演示了SqlMembershipProvider所提供的密码哈希值如何易于被暴力破解。 SqlMembershipProvider是VS 2010中ASP.NET web应用程序模板中的默认成员(membership)提供程序...
用户登录最佳实践(基于哈希)
bjspo的博客
05-10 3351
阅读此文章,对于对密码加密技术不是很熟悉的同学,请阅读我的前一篇文章《加密算法应用之密码保护》 https://blog.csdn.net/bjspo/article/details/90057377 一、从思想上重视数据安全1 一个健壮的系统应该是: 即使被拿走了数据和所有的代码,也没办法破解里面的数据。 这也是为什么大家不必实现自己的加密算法,而是使用公开的加密算法的原因,比如...
数据库里账号的密码,这样存放最安全!
勇往直前的专栏
05-26 1562
作者:小蒋不素小蒋 来源:cnblogs.com/xjnotxj/p/12716981.html 最早在大学的时候,只知道用 MD5 来存用户的账号的密码,但其实这非常不安全,而所用到的哈希函数,深入挖掘,也发现并不简单…… 一、普通的 Hash 函数 哈希(散列)函数是什么就不赘述了。 1、不推荐 RC4, MD4, MD5, SHA-0, SHA-1, DES, 2DES 等 2、推荐 SHA-2(SHA-256, SHA-384, SHA-512)、SHA-3、Blake2 等 .
password_hash 及 加密 密码字段的意义 及登录安全流程
qq_35772366的博客
03-24 5409
一般我们用md5或sha1加密码的话,加密码后都是固定的的加密字符,有点自期期人的感觉,,, 有没有一种办法可以使密码加密后生成的加密字符不是固定的。我们就可以使用password_hash方法了。 如123456在md5加密后生成的都是 E10ADC3949BA59ABBE56E057F20F883E 然而使用pssword_hash,每次生成的都不同。 使撞库不存在的。 小例子...
对抗明文口令泄露 —— Web 前端 Hash
weixin_34107955的博客
11-27 422
新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破。但在密码学中则不同。算法越快,越容易破。 0x01 暴力破解 密码破解(严格地说应该是账号口令的破解),就是把散列值还原成明文口令。这貌似有不少方法,但事实上都得走一条路:暴力穷举。(也许你会说还可以查表,瞬间就出结果。虽然查表不用穷举,但表...
加盐Hash密码扩展
戎滨的专栏
10-14 1720
前言保护一个网站的安全,是多方面的努力,如何保障数据不被拖库,这里就不讲了。 首先来说说密码加密,现在很少有系统会直接保存用户密码了。至少也应该是计算密码的MD5/SHA哈希后保存。这种不可逆的加密方法理论上已经很安全了,但是随着彩虹的出现,GPU并行计算能力的不断提升,使得大量长度不够的密码可以直接从彩虹表反推出来。安全的终极目的:即使在数据被拖库,代码被泄露,请求被劫持的情况下,也能保证用户
证明与计算(5): 从加密哈希函数到一致性哈希
正交分解
01-25 350
目录: ** 0x01 [哈希函数] vs [加密哈希函数] ** 0x02 [哈希碰撞] vs [生日问题] ** 0x03 [哈希表] vs [分布式哈希表] ** 0x04 [欧式距离] vs [三角不等式] ** 0x05 [异或距离] vs [前缀路由表] 0x01 [哈希函数] vs [加密哈希函数] 在哈希表计算索引的时候,我们需要一个哈希函数,通过hash(key)来计算key在...
用户密码过期只有hash,如何密码
最新发布
05-24
1. 强制用户密码:你可以通过 Active Directory 中的策略来强制域用户在下一次登录时改其密码。这样做的原因是,当用户改其密码时,其明文密码会被哈希并存储在 Active Directory 中。 2. 使用管理员帐户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值