一种服务器与客户端密码加盐策略--动态盐

最新推荐文章于 2024-05-04 23:09:29 发布
最新推荐文章于 2024-05-04 23:09:29 发布
阅读量393 收藏 10
点赞数 8
分类专栏: 密码 服务器 文章标签: 服务器 运维 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52780611/article/details/135358126
版权

前言

众所周知,一个网站最重要的就是用户,所以如何保证用户信息的安全性就成了网站最重要的问题之一,而这个问题的关键就是保证用户密码的安全,服务器与客户端交互用户密码的时候,是不能使用明文的,最好通过加密以后再进行交互,同时数据库存储密码时也要保存加密后的密码。前者是为了防止中间服务器转发时拦截获取用户密码,从而泄露用户数据或危害服务器,后者则是为了防止内部人员拖库泄露用户密码。所以密码加密成了非常重要的一个环节。

一般的加密方式

公钥/私钥

现在一般的加密方式无非就是使用公钥/私钥进行加密/解密,来解决两端之间交互时使用明文而被中间服务器获取用户密码的问题。

加密算法

或者直接使用某种加密算法进行加密,在客户端加密后直接与服务器进行交互,并存储在数据库中。

进阶一些的加密方式

密码加盐后加密

给密码加盐算是一种比较常见的加密方式,可以防止中间服务器直接获取到用户的明文密码,但是也可以通过对照彩虹表的方式来获取加盐后的密码,所以在我看来安全性也不算太高。

我的策略

动态盐

在给密码加盐的基础上,我想出了动态盐的加密方式

我选择的加密算法是sha256,sha算法具有理论上不可逆运算的可靠性,不管多少长的密码,在计算后都会变成64个字符

通过对密码使用sha256加密并加盐后,中间服务器解密起来就会变得非常麻烦,而使用了动态盐后,用户每次登录的密码加密密文都会变得不一样,从而导致中间服务器用这次的盐,无法用于下一次登录。

而因为数据库里的盐是动态的,密码是sha256加密的,即使拖库后也无法直接用于登录。

基本思路如下图所示:

动态加盐整体思路图
陌上一顾花勿祝
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决服务器客户端组件粘包的方法-易语言
06-12
解决服务器客户端组件粘包的方法-易语言
系统登录的密码加盐动态加盐
Phoenix_smf的博客
04-24 5175
关于系统登录,在上大学的时候就是简单的用户名密码存储到数据库进行匹配,当然这是最基本的登录,但是实际的应用系统中这是非常不安全的,账户密码不论是在数据库中存储还是在网上传输过程中都应该是密文而不能是明文,一般都是采用MD5或者SHA加密算法把密码加密,但是这也是不安全的,因为现在网上对于这些流行的加密算法都有密码库,他可以利用库去对比加密后的密文从而反向推出你的密码,网上也有各种在线MD5加密解密...
密码加密 加盐 Java PBKDF2 密码哈希代码
z369702770的博客
02-14 1178
如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险。最好的办法就是对密码进行加盐哈希,这篇文章将介绍它是如何做到这点。 在对密码进行哈希加密的问题上,人们有许多争论和误解,这大概是由于网络上广泛的误传吧。密码哈希是一件非常简单的事情,但是依然有很多人理解错...
密码加盐&安全的账号系统
冰三尺的Blog
05-22 929
md5 这种不可逆的加密方法理论上已经很安全了,但是随着彩虹表的出现,使得大量长度不够的密码可以直接从彩虹表里反推出来。 所以,只对密码进行 md5 加密是肯定不够的。聪明的程序员想出了个办法,即使用户的密码很短,只要我在他的短密码后面加上一段很长的字符,再计算 md5 ,那反推出原始密码就变得非常困难了。加上的这段长字符,我们称为(Salt),通过这种方式加密的结果,我们称为 加盐 Hash 。
关于密码的加密数据存储--正确使用加盐密码哈希
Jack__iT的博客
06-19 3641
为什么密码需要进行哈希? hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366 hash("waltz") = c0e81794...
jwt如何加盐_近似乎裸奔的认证方式 --- JWT(JSON Web Token)
weixin_36378232的博客
01-17 1248
原标题:近似乎裸奔的认证方式 --- JWT(JSON Web Token) 一. 日常啰嗦按照日常惯例先来一段官方给出的简介:????JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。????JWT作为一个开放的标准(RFC 7519)定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的。????JWT可以使用HMAC算法或...
很棒的文章 账户密码加盐哈希之即使被拖库,也可以保证密码不泄露
andylau00j的专栏
01-10 652
在前一篇文章《设计安全的账号系统的正确姿势》中,主要提出了一些设计的方法和思路,并没有给出一个更加具体的,可以实施的安全加密方案。经过我仔细的思考并了解了目前一些方案后,我设计了一个自认为还比较安全的安全加密方案。本文主要就是讲述这个方案,非常欢迎和期待有读者一起来讨论。 首先,我们明确一下安全加密方案的终极目标: 即使在数据被拖库,代码被泄露,请求被劫持的情况下,也能保障用户的密码
jwt如何加盐_JWT 基础教程
weixin_33906021的博客
01-17 1580
一、前言针对前后端分离的项目,大多是通过 token 进行身份认证来进行交互,今天将介绍一种简单的创建 token 的方式 -- JWT。二、基本介绍2.1 定义JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。2.2 组成部分一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。前两部分需要经过 Bas...
iOS--客户端密码加密
刘海阳的博客
09-01 532
1.一般情况下仅仅用POST请求提交用户的隐私数据还是不能完全解决安全问题,因为可以利用很多软件(Charles)设置代理服务器,拦截查看手机的请求数据。2.常见加密算法MD5,SHA,DES,3DES,RSA,DSA,AES等。3.一般公司都有一套自己的加密方案,按照接口文档操作即可。4,MD5,不可逆,对输入信息生成唯一的128位散列值(32个字符)5.加密增强: 1.多次MD5。 2.先对
即使被拖库,也可以保证密码不泄露-加盐
diaoju3333的博客
12-26 67
在前一篇文章《设计安全的账号系统的正确姿势》中,主要提出了一些设计的方法和思路,并没有给出一个更加具体的,可以实施的安全加密方案。经过我仔细的思考并了解了目前一些方案后,我设计了一个自认为还比较安全的安全加密方案。本文主要就是讲述这个方案,非常欢迎和期待有读者一起来讨论。 首先,我们明确一下安全加密方案的终极目标: 即使在数据被拖库,代码被泄露,请求被劫持的情况下,也能保障用户的密码...
ServerClientSync:客户端-服务器-时钟-同步
06-20
服务器客户端同步 客户端-服务器-时钟-同步
Java-web客户端服务器端交互的原理.doc
12-14
Java-web客户端服务器端交互的原理.doc
易语言服务器客户端简单注册实例-易语言
06-12
易语言服务器客户端简单注册实例
三菱IQ-R系列PLC—socket通信作为客户端服务器或上位机通信配置.pdf
12-22
三菱IQ-R系列PLC与上位机或服务器或TCP助手进行Socket通信,PLC作为客户端的配置说明
38-5 Web应用防火墙 - WAF绕过基础知识及Web Server(服务器)层绕过
最新发布
weixin_43263566的博客
05-04 143
Bypass WAF(Web Application Firewall)实际上是利用位于 WAF 设备之后处理应用层数据包的硬件/软件特性。这些特性使得攻击载荷可以绕过防护,而不被WAF检测到。这些特性就像是特定的场景,一些已被研究人员发现,一些则尚未被发现,等待研究人员挖掘。当攻击载荷满足这些场景时,如果WAF没有考虑到这些场景,我们就可以利用这些特性绕过WAF。假设客户端访问URL为:http://www.example.com/1.php?该请求的目的是获取服务器上数据库中id为1的记录。
企业计算机服务器中了devicdata勒索病毒怎么处理,devicdata解密数据恢复
M99W1230的博客
05-03 443
网络技术的不断应用与发展,加快了社会进步的步伐,越来越多的企业利用网络开展各项工作业务,网络为企业提供了极大便利,大大提高了生产效率,网络数据安全问题成为了众多企业关心的主要话题。Devicdata勒索病毒是国外知名的勒索组织,该勒索病毒下有多个团队,时不时就会对企业的计算机服务器发起攻击,给国内众多企业带来了严重威胁,而devicdata勒索病毒经过多年网络技术的不断发展,采用了新升级后的加密算法,具有较强的攻击与加密能力,加密后的文件几乎全部为全字节格式,非专业技术人员很难自行破解恢复。
HCIP第二节
2301_78530830的博客
05-02 1065
加载,查看完其他邻接发过来的DBD后,基于当中本地未知的LSA信息,使用LSR查询,对端使用LSU来共享这些LSA信息,本地收到后需要ACK进行确认,邻接间数据保持一致。预启动,使用不携带数据库目录信息的DBD包进行主从关系的选举,RID数值大为主,优先进入下一个状态--排序(避免同时更新,导致网络拥塞)邻居关系建立后,关注条件,条件不匹配的邻居间,将维持邻居关系,仅hello包周期保活即可,启动配置完成后1,邻居间组播收发hello包,获取对端的RID,建立邻居关系,生成邻居;
【Linux】深入探讨 Linux 中的 `ln` 命令:创建链接的艺术
风是自由的,你也是。
05-02 515
ln 命令用于创建两种类型的链接:硬链接和软链接(符号链接)。了解这两种链接的区别和适用场景对于有效使用这一命令至关重要。<target>是您想要链接的原始文件。是链接的名称。掌握 ln 命令及其选项可以极大地提升在 Linux 环境下的文件管理效率。了解何时使用硬链接与软链接,并理解它们的行为,将帮助您更好地组织和管理文件系统。希望本文能帮助您更深入地了解 ln 命令,有效地利用链接来管理您的文件和目录。
服务器客户端.zip
09-30
服务器客户端.zip是一种压缩文件,其中包含了服务器客户端软件的相关文件。服务器客户端是计算机网络中常见的两种角色。 服务器是一台被配置和专门用于提供各种服务的计算机。它通常拥有更高的运算能力、存储...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值