网站用户密码存储,通常都会在数据库用户信息表里面建立一个password的字段存储密码。最简单粗暴的存储方式是明文存储,稍微高级一点就把密码md5加密后存储(密码必须散列存储),这两种存储的安全性都不高。明文就不用说了,抓个包就看到密码了;如果直接对密码进行散列,那么黑客可以对一个已知密码进行散列,通过对比散列值得到某用户的密码,所以抓到了md5计算后的包,直接把这个包发给网站服务器去验证,还是跟抓到明文效果一样的,依然轻易破解。
当然密码必须散列存储,所以用了md5加密,不过还不够,用彩虹表加以时日也可以破解。为了提高安全性,增加类似用彩虹表破解的难度,我们这里这里引入salt加密。
表userinfo表里存在:username,password,salt3个字段。username当然就明文存储了,password字段的生成方法(用PHP语言实现):
假设某个用户的密码明文是 '12345678'赋值给变量$truePwd;
$truePwd='12345678';//真实的明文密码
$salt=date('Y-m-dH:i:s');//取当前时间。 实践操作可以取一个与时间和随机数,还有更复杂算法的数据,这里仅仅为了说明问题,就取当前时间吧。
$password=md5($truePwd.$salt);//把密码和salt连接成一条字符串,然后进行md5加密。
最后把salt和password两个字段都存储到数据库中。
用户每次登录是都按照上面算法同时更新 password和salt这两个字段。
以上是一个简单的原理说明。