深入了解密码的加密加盐处理

最新推荐文章于 2024-05-31 09:11:21 发布
最新推荐文章于 2024-05-31 09:11:21 发布
阅读量2.2k 收藏 10
点赞数 1
分类专栏: 面试 文章标签: java mysql spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41169066/article/details/115913821
版权

1、常规的登录认证(不安全)

数据库表如下:在这里插入图片描述
<form action="index.jsp" method="post">
    账 号:<input type="text" name="username"/><br/>
    密 码:<input type="password" name="password"><br/><br/>
    <input type="submit" value="提交"><br/>
form>

用户通过表单提交用户名,密码两个字段查询数据库匹配,实现登录认证功能,但存在的安全隐患问题太多:

(1)数据库密码以明文的形式进行存储。
(2)数据传输的过程中未对数据进行加密处理。

md5加密后数据

在这里插入图片描述
数据库密码加密后,校验的逻辑就发生了些变化,需要对提交的密码进行加密之后再做对比,但是这样子还是不安全。

(1)通过以上步骤,我们只对数据库的password明文字段进行了简单的MD5加密,进入http://www.cmd5.com/ 输入加密后的密文进行解密后可以得到明文密码
在这里插入图片描述
(2)容易根据密文位数推测算法,从而使用工具破解。

(3)真实密码相同,加密过的密码也相同。

进行加盐处理后

在表中添加一列salt字段(盐),内容随意输入23sd2,然后和原来的明文密码123456结合,再进行md5加密。在这里插入图片描述
说明:所谓的salt字段就是一个随机的字段,具体随机算法就不讨论了,每当用户注册账户时,后台就给它随机生成一个不同的字段,然后根据password和salt字段结合进行摘要处理,存在数据库表中的password字段,这样一来,原来明文都是123456生成的密文就不一样了。

以上的步骤我们只是对数据库进行了加密,为了防止用户输入密码在传输的过程中被抓包工具获取,我们还要在密码传输的过程中进行加密,这样可以使得获取到的也是密文。

最后介绍下BCrypt加盐加密

经过BCryptPasswordEncoder加密后的内容,不需要专门的salt字段存储盐,而是在密文中。
在这里插入图片描述

BCrypt密码图解

在这里插入图片描述

Bcrypt有四个变量:

saltRounds: 正数,代表hash杂凑次数,数值越高越安全,默认10次。

myPassword: 明文密码字符串。

salt: 盐,一个128bits随机字符串,22字符

myHash: 经过明文密码password和盐salt进行hash

如何校验正确性

在校验时,从密文中取出盐salt,salt跟password进行hash,得到的结果跟保存在DB中的hash进行比对。

总结:

对于用户的密码保护,数据库对敏感的字符内容一定要进行加密之后存储。

如果只是单纯的对密码进行加密,密码字符一样会导致加密后的内容也一样,会出现破解一个就可以破解一片的情况。

通过对密码加盐(混入随机字符拼接在密码明文中)之后加密,可以增加系统复杂度,得到更强更安全的密文摘要值。

爱写程序的白羊
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
密码如何“加盐加密处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7327
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密解密吧~
盐与密码加密
weixin_43756060的博客
08-16 137
执行npm install bcryptjs --save安装依赖包,使用bcryptjs进行加密 user.js api中导入bcryptjs const Router = require('koa-router') const {RegisterValidator} = require('../../validators/validator') const {User} = require...
MD5加密算法中的加盐值(SALT)简单理解
最新发布
关注收藏,可以私信解决问题!
05-31 1159
密码学中,加盐值是一个随机生成的数据片段,它与密码结合在一起,然后一起进行哈希处理。当用户登录时,系统会取出存储的加盐值,将其与用户输入的密码结合,然后进行哈希处理,最后将结果与数据库中存储的哈希值进行比较,以验证密码的正确性。需要注意的是,尽管加盐可以提高安全性,但MD5本身已经不再被认为是安全的哈希函数,因为它容易受到多种攻击,如碰撞攻击。MD5是一种广泛使用的加密散列函数,它可以产生一个128位(16字节)的哈希值,通常用一个32位的十六进制字符串表示。
对用户密码进行加盐处理(转)
weixin_33860553的博客
07-09 626
对用户密码进行加盐处理 按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。 如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护 直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图: 如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么...
加密加盐
热门推荐
real.me
12-20 1万+
本文转自http://tracylihui.github.io/2015/07/21/%E5%8A%A0%E5%AF%86%E4%B8%8E%E5%8A%A0%E7%9B%90/ 加密 我们在用户模块,对于用户密码的保护,通常都会进行加密。从最简单来说,小明盗取了你的数据库信息(小明躺枪),但由于你对你数据库中的用户信息的密码加密的(我们假设加密之后的密文是无法破解的),那小
密码加盐加密
andwey的博客
06-01 300
<dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>18.0</version> </dependency> package com.house.user.utils; import com.google.common.base.Throwables; import com..
加盐加密详解
qq_61925446的博客
10-11 1905
加盐加密就是后端在存储一个密码的时候,为了提高安全性,随机生成一个盐值(随机值),将盐值和密码进行有规则的结合,然后将结合过后的数据使用加密算法(一般是md5加密)再次加密,然后将再次加密后的数据和盐值按着一定规则组合起来存放在数据库的加密流程。流程图:普通的加密手段就是只使用md5加密或者不加密。如果发生数据库信息泄露,账户和密码基本上算是直接泄露。因为md5加密密码虽然不能被反推,但是md5加密后的密码都是唯一的,可以通过穷举的方式暴力破解。加盐算法就大大增加了黑客的破解成本。
salt_hash.zip_Node.js_密码加密解密_密码加盐
09-20
本案例主要关注的是如何利用Node.js的crypto模块来进行密码加密解密,并且涉及到了密码加盐(salt)的策略。以下是对这两个关键知识点的详细说明。 首先,我们来看密码加密。在Node.js中,crypto模块是内建的,...
浅谈discuz密码加密的方式
12-19
密码加密方式,以帮助我们了解加密机制以及密码安全性。 首先,当我们设置一个如"123456"这样的密码时,Discuz! 会通过特定的加密过程来保护它。最基础的步骤是使用MD5(Message-Digest Algorithm 5)算法对...
易语言MYSQL密码加密
07-18
在描述中提到的“MYSQL密码加密”是指对MySQL数据库用户的密码进行加密处理,以保护这些信息免受未经授权的访问。这通常涉及到哈希(Hashing)和加盐(Salting)等技术。哈希是一种不可逆的转换过程,将原始数据转化...
关于python中密码加盐的学习体会小结
09-19
通过本文的学习,我们不仅了解密码加密的基本原理,还掌握了如何在Python中实现密码加盐的技术。密码加盐是一种有效的增强密码安全性的手段,它可以有效地对抗彩虹表攻击。对于开发人员而言,了解并掌握这些技术是...
加盐加密保存的通用方案
01-21
网络安全问题日益严峻的今天,原始密码和简单非可逆加密算法已经不足以提供安全的系统服务,所以加盐加密技术使用越来越普遍。 本文档系统的介绍了加盐加密的原理和实现方案。 由四哥许坤整理发布,http://blog.kunx.org
php实现的加密解密处理类.zip
07-11
5. 安全性增强:类库可能添加了一些额外的安全措施,如加盐、哈希等,以提高加密数据的安全性。 在实际应用中,这个类库可以广泛应用于数据库存储敏感信息、网络传输数据加密、文件加密存储等领域。使用这个类库,...
对用户密码进行加盐处理
weixin_34235371的博客
05-11 359
按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图:如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的...
md5加盐
weixin_30877181的博客
04-27 178
本文转自http://www.cnblogs.com/guanghuiqq/archive/2012/09/08/2676384.html http://www.blogjava.net/heyang/archive/2010/11/28/339233.html 按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。 如果不了解下文部分细节的话,您可以参考这篇文章...
加盐加密——保障你的数据安全
qq_54469537的博客
05-29 3435
什么是加盐加密?如何实现加盐加密的代码?
【信息安全】快速了解密码加密加盐处理
yubao0723的专栏
03-07 1564
信息安全基础,快速了解密码加密加盐处理
加密加盐
loveweni的博客
09-11 212
加密+加盐 导入依赖包 <!-- MD5加密 --> <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.14</version> </dependency> 逻辑 加密加盐 1:获取注册的密码:passw
密码加盐salt
m0_73804996的博客
01-31 395
密码加盐salt
微博密码加密技术解析与JS改写教程
`JS改写系列课程`可能是指利用JavaScript进行密码加密的改写技术,这包括但不限于对原始密码进行哈希处理、盐值加盐、RSA非对称加密等多种方法。JavaScript在前端的加密可以增加攻击者在中间人攻击中的难度,因为...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱写程序的白羊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值