21.讲哈希算法(上):如何防止数据库中的用户信息被脱库

最新推荐文章于 2023-11-19 18:23:48 发布
最新推荐文章于 2023-11-19 18:23:48 发布
阅读量278 收藏
点赞数
分类专栏: # 数据结构和算法 - 极客时间 王争 文章标签: 哈希算法 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39530821/article/details/127000700
版权

文章目录

问题:数据库脱库了怎么办, 如何用哈希算法解决问题。

1. 什么是哈希算法?

哈希算法的定义和原理: 将任意长度的二进制值串映射为固定长度的二进制值串。

哈希算法要求:

  • 从哈希值不能反向推导出原始数据
  • 对输入数据敏感,哪怕改一个bit,得到的哈希值也大不相同;
  • 散列冲突的概率要很小;
  • 算法执行要高效。

2. 应用一:安全加密

常用加密算法:MD5,SHA。 除了这些,还有DES,AES。

为什么哈希算法无法做到零冲突?
以MD5为例,哈希值是固定的128位二进制串,最多表示2 ^ 128种数据,如果超过 2 ^ 128 + 1种,一定有两个数算得的哈希值相同。(抽屉原理,10个抽屉,11个东西,一定至少有一个抽屉有两个东西)

3. 应用二:唯一标识

如果要在海量的图库中,搜索一张图是否存在,我们不能单纯地用图片的元信息(比如图片名称)来比对,因为有可能存在名称相同但图片内容不同,或者名称不同图片内容相同的情况。那我们该如何搜索呢?

做法:取图片前100个字节,中间100个字节,后100个字节,算一个哈希值,作为唯一标识,判断图片是否在图库中。

4. 应用三:数据校验

BT下载。将文件分成若干文件块,分别取哈希值,保存在种子文件中。用户下载文件后,计算文件块得到哈希值,与种子文件中的比较,判断文件块不完整或被篡改了。

5. 应用四:散列函数

相对哈希算法,散列函数更加关心散列值是否更加均匀,计算速度是否更快,对散列冲突的容忍度比较高一点。

7.解答开篇

数据库脱裤后,可以使用撞库方法试密码,原因是很多用户的密码设置很简单,比如123456等等。

解决方法:加盐,原始密码加一个盐,组合之后,计算得到的哈希值。

tobebetter9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
21丨哈希算法(上):如何防止数据库用户信息脱库?1
08-03
21丨哈希算法(上):如何防止数据库用户信息脱库?1
基于改进哈希算法的图像检索方法.pdf
05-25
"基于改进哈希算法的图像检索方法" 本文提出了一种基于深度卷积神经网络和改进哈希算法的图像检索方法。该方法通过结合卷积神经网络提取的高层特征和哈希函数,学习到具有足够表达能力的哈希特征,从而在低维汉明...
密码加盐(盐值salt)
weixin_66107760的博客
01-03 1894
密码加盐(盐值salt)
如何有效预防脱库
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-08 647
本篇不从DBA、网络架构层面来述数据安全,这部分有很专业的架构和云上产品来解决,本篇重点从开发人员角度述如何避免数据安全的漏洞。相信大部分人都看到过这样的新闻,某某论坛泄漏了用户密码,...
数据结构与算法之美学习笔记:21 | 哈希算法(上):如何防止数据库用户信息脱库
weixin_43597208的博客
11-19 311
本节课程思维导图如果你是 一名工程师,你会如何存储用户密码这么重要的数据吗?仅仅 MD5 加密一下存储就够了吗?我今天不会重点剖析哈希算法的原理,也不会教你如何设计一个哈希算法,而是从实战的角度告诉你,在实际的开发,我们该如何用哈希算法解决问题。实际上,不管是“散列”还是“哈希”,这都是文翻译的差别,英文其实就是“Hash”。所以,我们常听到有人把“散列表”叫作“哈希表”“Hash 表”,把“哈希算法”叫作“Hash 算法”或者“散列算法”。那到底什么是哈希算法呢?
密码学的“盐值 Salt”
xiliang_pan的专栏
04-03 4136
盐(Salt) 在密码学,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库设计用户表的时候,大致是这样的结构: mysql> desc
如何防止数据库信息被“脱库”-笔记
jean博客
01-05 3553
我们可通过hash算法对用户密码加密之后再存储,不过最好选用较安全的加密算法,比如SHA(MD5据说已被破解),但仅仅这样加密就行了吗? 用户信息脱库”后,黑客利用字典攻击:维护一个常用密码的字典表,将字典每个密码用hash算法计算hash值,如果用户脱库”后的密文和hash值相等,基本就可以认为密文对对应的密码就是字典的密码,为什么说是基本认为?因为可能会存在hash冲突。 针对字典攻击...
21 | 哈希算法(上):如何防止数据库用户信息脱库
常敲代码手不生
04-11 235
问题:对于用户信息的密码,你会如何存储用户密码?仅仅 MD5 加密一下存储就够了吗?——哈希算法 什么是哈希算法 哈希算法的定义和原理:将任意长度的二进制值串映射为固定长度的二进制值串,这个映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值。 哈希算法必须满足的几点要求: 从哈希值不能反向推导出原始数据(所以哈希算法也叫单向哈希算法); 对输入数据非常敏感,哪怕原始数据只修改了一个 Bit,最后得到的哈希值也大不相同; 散列冲突的概率要很小,对于不同的原始数据,哈希值相同
MySQL数据库防止SQL注入、防止脱库
Andrew Liu的博客
02-28 1398
何为SQL注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 如何防止SQL注入? 通过对比来解如何防止SQL注入: 非安全方式: # 非安全方式 find_name = inpu...
脱库策略
Wengzhengcun的博客
12-27 504
直接存储客户的密码,存在被脱库用户在其他App的密码与此密码相同,则同样会被窃取账户资料的风险。解决办法:不直接存储用户的密码,不管是明文的还是加密的密码,代之以用户账户+密码+秘钥生成的token,当用户登录时,输入密码,由后台服务器计算实时的token与数据库里的token是否一致,一致则认证通过,不一致则认证不通过。...
mysql脱库_jsp数据库脱裤脚本,可脱mysql,oracle.
weixin_42467508的博客
01-28 283
try {//备份文件存放的绝对路径String backupDir = "c:/";String ex=".txt";String driver = "com.mysql.jdbc.Driver";String url = "jdbc:mysql://localhost:3306/dbname";String username = "user";String password = "pass";...
基于一致性哈希算法的分布式数据库高效扩展方法.pdf
08-08
#资源达人分享计划#
基于一致性哈希算法的分布式数据库高效扩展方法研究.pdf
08-08
#资源达人分享计划#
基于php实现的哈希算法的人脸检索
最新发布
04-30
基于哈希算法的人脸检索-Face retrieval based on hash algorithm - 通过hash算法存储165张图片于数据库,每一个图片的hash码位数为64位; - 输入一个图片,检索数据库,并输出对应人脸图,以可视化界面的方式...
脱库和删库的实践及解决方案
深耕安全技术研究
02-03 4950
文章目录1.定义2.影响3.解决方案4.结论 1.定义 脱库:它属于来自外部恶意攻击。 删库:它属于是来自内部开发或运维人员的bug。 2.影响 但是在项目的业务是十分复杂,在一些紧急情况下还是很难避免需要直接操作数据库进行调试。 只要时间跨度足够长,运维及开发人员操作数据库就肯出现疏忽的很大可能性。 而且在我们开发项目的业务还会出现各种各样的可能,包括活动漏洞数值漏洞等等,导致需要回档的运营事故并不罕见。 3.解决方案 就是生产环境的数据库不允许直接操作,不提供和不使用任何数据库管理工具或者命令行工具。
(转载)你的个人信息是如何被盗走的?MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
moose_killer的博客
02-26 5192
一、什么是脱库脱库」是指,利用网站的漏洞,获取数据库的全部用户信息。 比如某银行数据泄露,泄露的信息包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。 我们平时接到的诈骗电话,对方知晓我们所有的个人信息,他们的信息来源可能就是某网站的数据泄露;当然,并不是所有的诈骗电话都是源于数据泄露,比如 我……秦始皇……打钱! 脱库有一个前提,那就是网站存在SQL注入漏洞。 我们举个栗子,你暗恋你们校花很久了,这天,你发现你们学校官网存
你的个人信息是如何被盗走的?MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
細水、長流√的专栏
05-19 1251
「作者主页」:士别三日wyx「作者简介」:CSDN top200、阿里云博客专家、华为云享专家、网络安全领域优质创作者 脱库 一、什么是脱库 二、默认数据库 三、一库三表六字段 四、脱库步骤 1)爆库 2)爆表 3)爆字段 4)爆数据 一、什么是脱库脱库」是指,利用网站的漏洞,获取数据库的全部用户信息。 比如某银行数据泄露,泄露的信息包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电...
爆料:我的「盐值」狂掉 100 分与其背后的秘密
非著名程序员
04-26 757
loonggg读完需要5分钟速读仅需 2 分钟大家好,我是校长。本来就不帅的我,知乎盐值前一段时间被官方疯狂扣掉 100 分,就在前几天我发现了知乎盐值被扣这件事背后的秘密。01 什么是知...
salt值(盐值)
wys0127的博客
07-17 996
即使黑客有密文查询到的值,也是加了salt值的密码,而非用户设置的密码。而当用户登录时,系统为用户提供的代码撒上同样的加盐值,然后散列,再比较散列值,已确定密码是否正确。2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。SALT值属于随机值。5、其它:经过添加salt值处理的密码,即使用户设置的原密码是相通的,数据库的密文却是不同的。-----明文----> 单向散列算法 ----->密文。
那在node.js里如何用哈希算法实现加密和存储密码到数据库
03-21
在node.js,可以使用crypto模块来实现哈希算法加密和存储密码到数据库。具体实现步骤如下: 1. 导入crypto模块 const crypto = require('crypto'); 2. 创建哈希对象 const hash = crypto.createHash('sha256'); 3. 更新哈希对象 hash.update('password'); 4. 计算哈希值 const hashedPassword = hash.digest('hex'); 5. 将哈希值存储到数据库 可以使用数据库操作模块(如mongoose)将哈希值存储到数据库。 需要注意的是,为了增加密码的安全性,通常还需要在密码前加上一个随机的盐值,再进行哈希计算。这样可以防止彩虹表攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值