对数据加密

已于 2022-03-08 13:08:37 修改
阅读量623 收藏
点赞数
分类专栏: java 文章标签: 安全
于 2022-03-08 11:44:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun134911/article/details/123349238
版权
本文详细介绍了密码哈希的概念、破解方法,包括字典攻击和暴力攻击,以及如何通过加盐提高哈希安全性。讨论了错误的加盐方式,如短盐值和盐值复用,并提供了正确加盐哈希的步骤。同时,强调了慢哈希函数在抵御攻击中的重要性,并探讨了密钥哈希和密码哈希设备在增强密码安全方面的角色。此外,文章还提醒开发者注意其他安全措施,如定期审计代码和监控网站安全。
摘要由CSDN通过智能技术生成

密码哈希是什么?

哈希算法是一种单向函数。它把任意数量的数据转换为固定长度的“指纹”,而且这个过程无法逆转。它们有这样的特性:如果输入发生了一点改变,由此产生的哈希值会完全不同(参见上面的例子)。这个特性很适合用来存储密码。因为我们需要一种不可逆的算法来加密存储的密码,同时保证我们也能够验证用户登陆的密码是否正确。

如何破解哈希?

字典攻击和暴力攻击( Dictionary and Brute Force Attacks)

破解哈希加密最简单的方法是尝试猜测密码,哈希每个猜测的密码,并对比猜测密码的哈希值是否等于被破解的哈希值。如果相等,则猜中。猜测密码攻击的两种最常见的方法是字典攻击和暴力攻击 。

字典攻击使用包含单词、短语、常用密码和其他可能用做密码的字符串的字典文件。对文件中的每个词都进行哈希加密,将这些哈希值和要破解的密码哈希值比较。如果它们相同,这个词就是密码。字典文件是通过大段文本中提取的单词构成,甚至还包括一些数据库中真实的密码。还可以对字典文件进一步处理以使其更为有效:如单词 “hello” 按网络用语写法转成 “h3110” 。

暴力攻击是对于给定的密码长度,尝试每一种可能的字符组合。这种方式会消耗大量的计算,也是破解哈希加密效率最低的办法,但最终会找出正确的密码。因此密码应该足够长,以至于遍历所有可能的字符组合,耗费的时间太长令人无法承受,从而放弃破解。

目前没有办法来组织字典攻击或暴力攻击。只能想办法让它们变得低效。如果密码哈希系统设计是安全的,破解哈希的唯一方法就是进行字典攻击或暴力攻击遍历每一个哈希值了。

查表法( Lookup Tables)

对于破解相同类型的哈希值,查表法是一种非常高效的方式。主要理念是预先计算( pre-compute)出密码字典中的每个密码的哈希值,然后把他们相应的密码存储到一个表里。一个设计良好的查询表结构,即使包含了数十亿个哈希值,仍然可以实现每秒钟查询数百次哈希。

反向查表法( Reverse Lookup Tables)                                           

这种攻击允许攻击者无需预先计算好查询表的情况下同时对多个哈希值发起字典攻击或暴力攻击。

首先,攻击者从被黑的用户帐号数据库创建一个用户名和对应的密码哈希表,然后,攻击者猜测一系列哈希值并使用该查询表来查找使用此密码的用户。通常许多用户都会使用相同的密码,因此这种攻击方式特别有效。

彩虹表( Rainbow Tables)

彩虹表是一种以空间换时间的技术。与查表法相似,只是它为了使查询表更小,牺牲了破解速度。因为彩虹表更小,所以在单位空间可以存储更多的哈希值,从而使攻击更有效。能够破解任何最多8位长度的 MD5 值的彩虹表已经出现

接下来,我们来看一种谓之“加盐( salting)”的技术,能够让查表法和彩虹表都失效。

加盐( Adding Salt)

hash("hello")                    = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
hash("hello" + "QxLUF1bgIAdeQX") = 9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cff2127075ed1
hash("hello" + "bv5PehSMfV11Cd") = d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226ab
hash("hello" + "YYLmfY6IehjZMQ") = a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007

查表法和彩虹表只有在所有密码都以完全相同的方式进行哈希加密才有效。如果两个用户有相同的密码,他们将有相同的密码哈希值。我们可以通过“随机化”哈希,当同一个密码哈希两次后,得到的哈希值是不一样的,从而避免了这种攻击。

我们可以通过在密码中加入一段随机字符串再进行哈希加密,这个被加的字符串称之为盐值。如上例所示,这使得相同的密码每次都被加密为完全不同的字符串。我们需要盐值来校验密码是否正确。通常和密码哈希值一同存储在帐号数据库中,或者作为哈希字符串的一部分。

盐值无需加密。由于随机化了哈希值,查表法、反向查表法和彩虹表都会失效。因为攻击者无法事先知道盐值,所以他们就没有办法预先计算查询表或彩虹表。如果每个用户的密码用不同的盐再进行哈希加密,那么反向查表法攻击也将不能奏效。

错误的方法:短盐值和盐值复用

最常见的错误,是多次哈希加密使用相同的盐值,或者盐值太短。

盐值复用( Salt Reuse)

用户创建帐号或者更改密码时,都应该用新的随机盐值进行加密。

短盐值( Short Slat)

为使攻击者无法构造包含所有可能盐值的查询表,盐值必须足够长。一个好的经验是使用和哈希函数输出的字符串等长的盐值。例如, SHA256 的输出为256位(32字节)&#x

最低0.47元/天 解锁文章
sun134911
关注
专栏目录
用户名密码加密算法 MD5 加盐
qq_31617121的博客
01-24 4127
一、第一代密码 第一代密码用户名的密码直接保存在服务器的数据库上,一旦数据库泄漏,数据库里的用户名和密码都是明文的。 二、第二代密码 第二代密码将用户名密码用MD5算法加密,把加密后的密码存入服务器数据库中。当用户下次输入密码登陆的时候可以经过MD5运算,将运算值和数据库中的密码比较,如果一致代表密码正确,匹配上。如果数据库泄漏,得到的也只是经过MD5加密密码。 但是这里就有问题了,会有
JAVA-WEB项目中,前后台结合AES和RSA对数据加密处理
热门推荐
u011998957的博客
09-09 1万+
java web中使用AES和RSA加密数据
如何正确对用户密码进行加密
谷子
03-26 3738
本文介绍了对密码哈希加密的基础知识,以及什么是正确的加密方式。还介绍了常见的密码破解方法,给出了如何避免密码被破解的思路。相信读者阅读本文后,就会对密码加密有一个正确的认识,并对密码正确进行加密措施。 本文由Defuse Security安全团队撰写,作者采用了 CC协议 ,InfoQ翻译并分享,以飨读者。 作为一名Web开发人员,我们经常需要与用户的帐号系统打交道,而这其中最大的挑战就是...
针对用户密码几种加密方法
HL_xzf的博客
06-14 1695
1、md5加密(引用jquery.md5.js) 2、base64加解密 3、HmacSHA1加密 4、密码先做base64,然后前后调换,然后再做base64,然后再做异或,跟abcdef...字符进行异或。
如何加密用户密码
weixin_43511928的博客
01-18 1633
作者 Daniel Fernandez 1 概述 几乎所有现代 Web 应用程序都需要以一种或另一种方式加密其用户的密码。我们可以说,从应用程序拥有用户并且用户使用密码登录的那一刻起,这些密码必须以加密方式存储。 这有一些直观的原因:我们的数据存储可能会受到影响,我们的通信也会受到影响。但最重要的原因是我们必须将用户的密码视为敏感的个人数据。他们的密码是他们隐私的关键,所以他们是个人的,他们是敏感的,没有人(甚至我们)无权知道他们。如果我们想获得用户的信任,我们必须尊重这一点。 2 算法 所以,我们必须加密
MySQL数据库对敏感数据加密及解密的实现方式
09-08
在大数据时代,数据是企业宝贵的资产,而数据加密能有效防止数据泄露。本文主要探讨了两种在MySQL数据库中实现敏感数据加密的方法:MySQL内置的加密函数和Python的base64加密。 首先,准备工作涉及创建三个数据表:...
数据加密技术再进步端对端加密防护云安全.docx
12-16
数据加密技术再进步端对端加密防护云安全 数据加密技术是保护数据安全的根本手段,它能够确保数据的真实性和机密性。随着云计算和云安全的发展,数据加密技术也在不断进步,出现了新的加密技术和方法。端对端加密...
iOS 用密钥对数据加密解密
driftAxe的专栏
03-10 3532
引言在iOS App应用开发中,我们需要对用户的个人私密信息进行加密处理,从而保证用户信息的安全性。 这里所说的用户私密信息,如用户的账户,密码等等。为了保证数据安全性,我们可以将这些私密信息保存到钥匙串(keychain)中,因为钥匙串的不可见性,可以保证用户私密信息的安全。 有一点要说明的,钥匙串中存入明文的私密信息,这是不安全的。我们可以将用户私密信息通过算法加密后再存进钥匙串中,这样就
数据加密模块代码和类图.zip
06-05
某软件公司要开发一个数据加密模块,可以对字符串进行加密。最简单的加密算法通过对字母进行移位来实现,同时提供了稍复杂的逆向输出加密,还提供了更加高级的求模加密。用户先使用简单的加密算法对字符串进行加密,...
登录密码加密
08-10
将登录时的密码进行加密操作,使得别人看来,以及在数据库中都无法看出密码
md5加密 对用户名和密码加密
05-27
md5加密 md5加密 入库 出库 struts2 demo
用户登录和加密
10-19
iOS 的 用户登录 和 加密 资源来啦
密码进行加密
qq_46773487的博客
06-02 1336
我们使用的密码都是明文的,这是非常不安全的。一般情况下用户的密码需要进行加密后再保存到数据库中。 常见的密码加密方式有: 3DES、AES、DES:使用对称加密算法,可以通过解密来还原出原始密码 MD5、SHA1:使用单向HASH算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解 MD5可进行==加盐==加密,保证安全 ...
用户名与密码加密
seimeii的博客
12-08 273
1、vue项目中如何使用Base64转码 vue项目使用base64转码 2、20k级别前端是怎么使用LocalStorage的,想知道吗? 20k级别前端是怎么使用LocalStorage的,想知道吗? 3、md5加密 简单md5加密一下就可以了 4、jsencrypt jsencrypt 5、crypto-js ...
前端在登录时如何将用户密码加密加密方法AES)
weixin_51125364的博客
04-25 910
【代码】前端在登录时如何将用户密码加密加密方法AES)
密码进行加密和解密
学习 - 总结 - 分享 - Francis
07-30 1365
在项目中我们常常会对输入的密码进行加密,用来维护系统的安全。这次采用的方法是用MD5进行加密,该算法有压缩性、容易计算、抗修改性、强抗碰撞等诸多好处,现总结代码如下,以备后需。
常见的用户密码加密方式以及破解方法
kiku
02-04 5914
“ 要完全防止信息泄露是非常困难的事情“”,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄露出去,黑客也无法还原出原始密码(或者还原的代价非常大) 。也就是说我们可以将工作重点从防止泄露转换到防止黑客还原出数据。 作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据加密或者加密方式比较弱...
jmeter对数据加密
最新发布
01-14
JMeter可以通过使用插件或编写自定义代码来实现数据加密。以下是两种常见的方法: 1. 使用JMeter插件: JMeter提供了一些插件,例如CryptoJSR223和JMeterPlugins-Extras,可以用于在测试过程中对数据进行加密。这些插件可以通过JMeter插件管理器进行安装。 2. 编写自定义代码: JMeter支持使用Java编写自定义代码来实现数据加密。你可以使用Java加密库(如javax.crypto)来编写自己的加密逻辑,并在JMeter测试计划中使用JSR223 Sampler或BeanShell Sampler来执行该代码。 请注意,无论使用哪种方法,都需要确保在测试计划中正确配置加密算法和密钥等参数,以便正确加密和解密数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值