1,md5
大名鼎鼎,用途广泛.
有16位和32位两种
http://baike.baidu.com/view/7636.htm?fr=aladdin
一致性验证
数字证书
安全访问认证
2,sha-1
3,HMAC
实际相当于 key+(md5|sha-1
基于散列函数的消息认证码。它需要一个加密用散列函数(表示为H,可以是MD5或者SHA-1)和一个密钥K用以计算消息认证码。
hmac主要应用在身份验证中,它的使用方法是这样的:
1. 客户端发出登录请求(假设是浏览器的GET请求)
2. 服务器返回一个随机值,并在会话中记录这个随机值
3. 客户端将该随机值作为密钥,用户密码进行hmac运算,然后提交给服务器
4. 服务器读取用户数据库中的用户密码和步骤2中发送的随机值做与客户端一样的hmac运算,然后与用户发送的结果比较,如果结果一致则验证用户合法
在这个过程中,可能遭到安全攻击的是服务器发送的随机值和用户发送的hmac结果,而对于截获了这两个值的黑客而言这两个值是没有意义的,绝无获取用户密码的可能性,随机值的引入使hmac只在当前会话中有效,大大增强了安全性和实用性。
或许可以更改一下,
1,先由客户端生成随机数,并且用事先约定的密码一起进行hmac运算
2,将运算的结果连同随机数一起发送给服务器
3,服务器进行相同的运算,如果运算的结果与客户端发来的相同则用户合法
用这个方法似乎比原始方法少了2次网络交互
4 加盐的密码http://blog.csdn.net/peterwanghao/article/details/7780232
http://www.blogjava.net/heyang/archive/2010/11/28/339233.html
按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。
如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护
直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图:
如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。
那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。下面请见代码:
String changedPswd = DigestUtils.md5Hex(name + pswd);
就是这样简单,上面代码中盐就是用户名,可以的话还可以用用户注册时的邮件,注册时间等非空信息(如果是空信息这个加盐处理会失效)。
下面是数据库中两个用户的记录,他们的实际登录密码都是123456,但光看用户记录是完全看不出来的。这下别有用心的人打开数据库看到的密码都完全不一样,他以前的手段就失效了。
加盐就是这样简单,感谢您看到这里。
5。PBKDF2(感觉类似于HMAC)
http://baike.baidu.com/view/9709908.htm?fr=aladdin
扫一扫
242
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
