加盐Hash与密码扩展

最新推荐文章于 2023-11-15 11:24:52 发布
最新推荐文章于 2023-11-15 11:24:52 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 密码 hash 安全 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rongbino/article/details/52819981
版权
本文探讨了在保护用户密码安全方面,加盐Hash和密码扩展的重要作用。通过加盐Hash,可以增加攻击者反推原始密码的难度,而密码扩展如bcrypt则进一步提升安全性。在认证过程中,服务器使用独立生成的Salt,确保即使数据被拖库,攻击者也无法轻易伪造登录请求。此外,文章还提出了如何快速检测拖库攻击的方法,包括设置账号数据表陷阱和数据值陷阱。
摘要由CSDN通过智能技术生成

前言

保护一个网站的安全,是多方面的努力,如何保障数据不被拖库,这里就不讲了。
首先来说说密码加密,现在很少有系统会直接保存用户的密码了。至少也应该是计算密码的MD5/SHA哈希后保存。这种不可逆的加密方法理论上已经很安全了,但是随着彩虹的出现,GPU并行计算能力的不断提升,使得大量长度不够的密码可以直接从彩虹表反推出来。

安全的终极目的:

即使在数据被拖库,代码被泄露,请求被劫持的情况下,也能保证用户的密码不被泄露。
具体来说,我们的心中的安全系统大概是这样的:
1. 首先保障数据很难被拖库。
2. 即使数据被拖库,攻击者也无法从中破解出用户的密码。
3. 即使数据被拖库,攻击者也无法伪造登录请求通过验证。
4. 即使数据被拖库,攻击者劫持了用户的请求数据,也无法破解出用户的密码。

加盐Hash的应用

只对密码进行哈希运算时肯定的不够,这样程序员想出了一个办法,即使用户的密码很短,只要我在他的短密码后面加上一段很长的字符,在进行HASH运算,那么反推出原始密码就非常困难了。加上的这段长字符,我们称为盐(Salt),通过这种方式加密后,我们称为加盐Hash,例如:

SHA512(SHA512(Password)+ Salt)

通过以上加盐运算,即使攻击者拿到最终结果,也很难反推出原始的密码。不能反推,但是可以正推,假设

最低0.47元/天 解锁文章
戎滨
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hash算法概念和hash加盐
社区之星的专栏
12-15 3124
hash算法简单介绍,以及hash加盐法的简单介绍
create-hash:小型NPM程序包,用于创建加盐散列
04-27
"create-hash"是一个小型的NPM(Node Package Manager)程序包,它专门设计用于创建加盐散列,这是一种强化密码存储的安全技术。这个包的核心功能是对用户输入的数据进行加盐处理后,再进行哈希运算,从而提高数据的...
如何安全的存储用户的密码【摘】
weixin_33971130的博客
03-17 678
2019独角兽企业重金招聘Python工程师标准>>> ...
加盐哈希
hhh
09-02 7055
我们知道,系统保存用户的密码时,一般不会直接保存下密码,而是通过md5加密后保存; md5加密原理:Orz md5已经是一种十分安全的加密方法了,但是通过彩虹表依旧可以破解(彩虹表原理),那么我们伟大机智的程序员们就想出了在密码后加一段序列然后再md5加密的方法,这个后面加上的序列就是所谓的 “ 盐 ” 。  具体的流程是:     用户注册时:     1、用户在网站注册时提供ID与口...
如何安全存储口令?了解下Hash加盐的原理
weixin_34214500的博客
01-30 778
最近要开发一个项目,其中涉及到了用户口令存储(大家习惯称之为密码),毫不夸张的说,如果方案设计的不合格,未来再想补救就会困难重重。 以前研究了很多密码学算法,和口令加密有关的算法也有很多,参考了很多资料,最近又温习了这些资料,感觉理解的更透彻了,为了把口令加密的事情说清楚,打算写4-5篇文章。 首先,口令加密是非常系统化的一个工程,涉及到多方面,比如代码...
Excel使用的Md5加密宏与使用范例
12-19
7. **安全性提升**:为了增强安全性,可以考虑使用更强大的哈希函数,如SHA-256,或者结合盐值和加盐哈希策略。 总的来说,Excel中的MD5加密宏提供了一种简单的方式对数据进行加密,但需意识到其局限性,特别是在...
Hash函数MD5与SHA-1算法实现
09-03
也用于密码存储,虽然因为碰撞问题,现在更多采用加盐(Salting)和多次哈希等方法提高安全性。此外,它们还被用于数字签名和证书的哈希计算。 总结来说,MD5和SHA-1是两种重要的哈希函数,虽然它们的安全性已不如...
PHP_JiaMI.rar_php 加密_php加密
09-19
`password_hash()`是用于存储和验证用户密码安全方法,它结合了bcrypt算法和随机盐。`openssl_encrypt()`则允许使用OpenSSL库进行对称加密。 2. **加密类型**: - **对称加密**:如AES(Advanced Encryption ...
关于密码的加密数据存储--正确使用加盐密码哈希
Jack__iT的博客
06-19 3802
为什么密码需要进行哈希? hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366 hash("waltz") = c0e81794...
Salted hash password
weixin_33834075的博客
02-10 135
参考文档 http://www.cnblogs.com/richardlee/articles/2511321.html https://en.wikipedia.org/wiki/Salt_%28cryptography%29 https://www.91ri.org/7593.html   密码存储为什么不能是明文? 当账户密码是明文存储的话, 万一本网站给黑客攻破获取了数据, 则...
哈希加盐算法
最新发布
winnieFighting
11-15 815
在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?我们通常会将用户的密码进行 Hash 加密,如果不加盐,即使是两层的 md5 都有可能通过彩虹表的方式进行破译。彩虹表就是在网上搜集的各种字符组合的 Hash 加密结果。而加盐,就是人为的通过一组随机字符与用户原密码的组合形成一个新的字符,从而增加破译的难度。
加盐hash的正确使用
MInNrz的Love&Share
08-30 240
这篇文章写了很多关于密码加密的方法,值得一看 参考博客 https://www.cnblogs.com/walkerwang/p/3612110.html
密码加密:哈希(hash加盐
遇见编程
08-26 2055
密码落地要加密 可以采用md5进行加密 数据泄露后md5数据容易暴力破解 可以对密码进行加盐(系统给用户密码拼接上其他字符串)增加破解难度 对每个账号添加不同的盐,能够提高安全性 每个账号的盐不同,则盐也要存储在数据库中,有可能与密码一同被攻陷 可以利用账号的某些固定信息(例如用户ID),在程序中通过某种算法生成盐 如果固定信息比较少,也可以存储一个随机字符串,将这个字符串也加入盐的生成函数中 ...
hash加盐安全
小飘的专栏
02-20 1257
密码存储形式有三种:明文、加密、哈希值。 明文肯定是不可取的;加密的优点是可以还原密码,缺点是不如哈希值安全。所以我们一般用哈希值存储密码,常用的计算哈希值的方法是 MD5 和 SHA-1,本文以 MD5 为例。 为哈希值增加一个随机盐可以增加密码安全性。 增加简单密码安全性 假设用户的密码是 1,那么 MD5 值就是:c4ca4238a0b923820dcc509a6f75849
PHP 密码哈希password_hash的使用方法
郎涯技术
12-18 5629
每个人在建构 PHP 应用时终究都会加入用户登录的模块。用户的帐号及密码会被储存在数据库中,在登录时用来验证用户。 在存储密码前正确的 哈希密码 是非常重要的。哈希密码是单向不可逆的,该哈希值是一段固定长度的字符串且无法逆向推算出原始密码。这就代表你可以哈希另一串密码,来比较两者是否是同一个密码,但又无需知道原始的密码。如果你不将密码哈希,那么当未授权的第三者进入你的数据库时,所有用户的帐号资料将...
哈希算法中salt的作用
wecode666
01-07 5397
查表和彩虹表的方式之所以有效是因为每一个密码的都是通过同样的方式来进行hash的。如果两个用户使用了同样的密码,那么一定他们的密码hash也一定相同。我们可以通过让每一个hash随机化,同一个密码hash两次,得到的不同的hash来避免这种攻击。             具体的操作就是给密码加一个随即的前缀或者后缀,然后再进行hash。这个随即的后缀或者前缀成为“盐”。正如上面给出的例子一样,通
哈希加盐法(HASH+SALT)
热门推荐
蒟蒻升级中...Orz
05-30 2万+
一些网站的数据库管理着用户的ID及口令,口令以MD5等加密后的
加盐hash保存密码的正确方式(上)
LVXIANGAN的专栏
10-17 6017
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很
清华大学王老师揭秘:密码Hash函数碰撞攻击与新算法进展
密码Hash函数的碰撞攻击是信息安全领域的一个重要议题,它主要关注的是如何确保通过哈希算法生成的固定长度摘要,即使原始消息(M)发生变化,其哈希值(Y)也能保持唯一性和难以逆向推导。清华大学的王小云教授在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值