本文探讨了Web项目中用户密码的安全存储方法,从最初的明文存储到使用单向hash,再到应对Rainbow攻击的盐值和慢速hash策略。推荐的解决方案是结合使用hash、salt以及慢速hash算法,例如bcrypt,以增强密码安全性。
最近在开发一个项目,快交工的时候,项目经现发现项目数据库中用户名和密码都是直接用明文保存的,考虑到安全性,让我们对密码进行一定的加密,网上找了一些资料,有一位大牛写的比较好,现摘录如下:
原文网址:http://woshixushigang.iteye.com/blog/1280749
最简单的用户密码保存方式
用户访问网站,在注册时需要输入用户名和密码,在仅考虑功能的前提下,可以把用户名和密码以明文的方式存储在数据表中。
| Username | Password |
| foobar | foobar#123456 |
当用户登录时,直接使用用户提供的明文密码与数据库中的密码进行比对,如果相同则授权用户登录。
面临的安全问题 : 数据库被窃取导致密码泄露
明文密码保存方式在实现上非常简单,但面临的问题也很明显:没有任何安全防护机制,任何有权读取数据库的人都可以获取所有用户的密码。因此我们需要一种即使数据文件被窃取,窃取者也不能获取用户密码的方式。
解决方式:使用单向hash方式散列用户密码
通过hash的方式,可以比较有效的降低密码泄露的风险。 hash是把输入的数据流通过特定的算法处理后,输出是一个固定长度的字符串。如”foobar#123456”经过md5之后,值为”1276563ea8d2c
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
