利用salt防范MD5字典攻击

最新推荐文章于 2023-08-13 22:52:46 发布
最新推荐文章于 2023-08-13 22:52:46 发布
阅读量3.4k 收藏
点赞数
分类专栏: 网络安全 文章标签: 数据库 存储 破解 脚本 通讯 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syspro/article/details/2258097
版权
        由于sql注入、跨站脚本攻击、上传漏洞、以及一些网管的粗心大意等原因,造成不少论坛被攻破,数据库被盗,这对用户的隐私和个人信息安全造成了很坏的影响。尤其是很多用户对多种网络服务使用同一密码,如果论坛密码被窃,将威胁到用户的邮箱,即时通讯,网银等一系列的安全。以至于出现了“一个密码引发的血案”。
        现在常用论坛都是将用户密码用MD5等hash函数hash后,再存放在数据库中。这种做法在一定程度上提高了安全性。万一不法分子得到数据库后,只拿到用户密码的HASH值。但一般用户在设置密码时,为了怕忘记,大多数采用姓名拼音,生日,常用单词,数字串单独或组合使用的方式。所以,不法分子只需将这些数据及其hash值存放在数据库中,再通过查询hash值的方式,就能破解很多用户的密码。如果这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那威力是惊人。以至于现在网上出现了MD5 hash串查询的网站,号称用4T硬盘共存储md5记录4574亿条,能破译动网论坛83%的密码。
       那么如何防范这种字典攻击和网上那种MD5 hash串查询攻击呢。我在《应用密码学》这本书上找到了答案。salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。如果可能的salt值的数目足够大的话,它实际上就消除了对常用口令采用的字典式攻击,因为不法份子不可能在数据库中存储那么多salt和用户密码组合后的HASH值。当然,他们仍可以对单个用户的密码进行暴破。所以用户最好不要在不同的地方使用相同的口令。但利用salt后的安全性还是有所示增加的。
 
syspro
关注
专栏目录
Python安全编程:避免常见安全漏洞及防范措施
AI天才研究院
08-11 355
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。
图解HTTP十一:Web 的攻击技术
神薯片
06-15 2706
11.1 针对 Web 的攻击技术 11.1.1 HTTP 不具备必要的安全功能 从整体上看, HTTP 就是一个通用的单纯协议机制。因此它具备较多优势,但是在安全性方面则呈劣势。开发者需要自行设计并开发认证及会话管理功能来满足 Web 应用的安全。而自行设计就意味着会出现各种形形色色的实现。结果,安全等级并不完备,可仍在运作的 Web 应用背后却隐藏着各种容易被攻击者滥用的安全漏洞的 Bug。 11.1.2 在客户端即可篡改请求 在 Web 应用中,从浏览器那接收到的 HTTP 请求的全部内容,都可以在客
Java安全学习笔记(八)-使用加盐技术防范字典式攻击
上官云霆的博客
08-29 1478
口令被轻松攻击的主要原因在于口令过短或者过于简单。如果口令很长,则计算所有组合的消息摘要可能要成百上千年,这将大大加大了生成字典的难度。同时口令过程也会给用户带来不便记忆的麻烦,因此用户使用的口令长度总是有限的。本实例将介绍如何使用加盐技术在有限的口令长度上防止字典式攻击。 使用加盐技术防范字典式攻击的技术要点如下: 账号口令初始化; 生成随机数(盐) MessageDigest对象的应用
Python实验-字典攻击
qq_37272891的博客
12-21 3031
# 字典攻击 import itertools # 迭代器 import datetime import hashlib import time def generatelibary(library, length=8): libararys = itertools.product(library,repeat=length) dic = open("paswordlirbarys.txt","w",encoding='utf-8')#写模式打开文件 for i in libara.
字典式攻击及规避方案
jia12216的专栏
09-12 6285
不过我也有被逼急的时候,我一个excel文件的加密密码忘记了,是个六位全数字密码。我想打开这个文件,没有办法我分析了下可以用全枚举攻击强力破解它。我马上使用vb写个破解程序,虽然vb运行速度比vc满几十倍,但是省事,做的快。我破解时发现,当6位全数字密码程序跑飞,跑了一个小时没有结果。我就试5位密码结果几分钟就尝试完毕。看来6位密码破解受到计算机cpu等硬件和操作系统限制,难以实现。我就还一种想法...
网页登录之防字典爆破奇巧淫技
IMrekcah的博客
07-27 1245
一般来说,使用工具进行字典爆破进行登录时,通常根据服务器返回的响应报文的长度是否发生变化来得出哪一个为正确的账户口令。但是如果登录页面的名称的字数,和登录成功后首页的名称的字数是一样的,且服务器均响应为302错误。此时,只有通过响应报文的重定向行指向的网页的名称来判断是否成功登录。如果不细心一点,很可能错过得到正确账户口令的机会。 例如:响应报文只有Location行有差别。如: 登录
一些bug
Blessing Lee
10-16 169
Redis 问题:Caused by: redis.clients.jedis.exceptions:ERR Client sent AUTH, but no password is set redis默认没有密码,但在代码连接中却设置了密码,所以应该将代码中的password注释掉 redis: database: 0 hostName: 127.0.0.1 port: 6379 # password: 123456 t
我就是要用MD5!不用不行!那么,怎么防止被拖库后泄露用户密码?
accenturejack的博客
10-22 3048
最近(2015年10月20日前后)某邮箱系统被曝“泄露”了上亿用户数据,包括密码、密保问题等。无论是确有安全漏洞导致被“拖库”,还是有心人利用“撞库”的方法获得的用户数据,从留出的数据来看,用户的密码、密保等信息都还是使用的MD5 Hash摘要进行存储。 即便是已有组织早有警告MD5已经不再安全,仍然有浩若烟海的大小站点在使用MD5 Hash作为密码信息的存储手段。随手搜索一下,我们就可以发现,网...
常见的密码攻击手段分析与防范
# 1. 密码攻击简介 密码攻击是指黑客利用各种手段试图获取未经授权的密码信息的行为。...接下来我们将详细介绍密码攻击的概念和危害。...### 字典攻击 字典攻击是一种常见的密码破解方法,黑客利用预先准备好的密码字典
Python MD5加密:掌握核心原理,避免这5大常见漏洞
MD5,全称为Message-Digest Algorithm 5,是一种广泛使用的加密散列函数,能够产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。其设计者是罗纳德·李维斯特(Ronald Rivest),最初在
实验四、杂凑函数MD5数字签名
03-30
一、实验名称: 杂凑函数MD5、数字签名 二、 实验目的 1、 掌握MD5算法的工作原理。 2、 了解字典攻击的工作原理。 3、 了解RSA数字签名体制。 三、 实验基本方法 1、编写一个MD5算法,编程语言任选; 2、编程实现对一个字符串计算其MD5杂凑值; 3、编程实现利用字典攻击MD5反算法。(自习设计算法) 4、 利用学院实验室的密码学实验平台,完成RSA数字签名和签名验证实验。 说明: 1、MD5算法可以自编,也可以网上下载现成算法,参见学校教学平台本课程的参考程序。 四、 实验步骤 1、 编写一个MD5算法。 2、 编程实现对一个字符串计算其MD5杂凑值。 3、 对一个字符串计算并记录其杂凑值,改变1位明文信息观察并记录MD5的输出。重复3次。 4、 编程实现利用字典攻击MD5反算法。* 5、 假设字符串是全数字的4位口令,利用上面程序破解口令。* 6、 利用学院实验室的密码学实验平台,完成RSA数字签名和签名验证实验。 7、 对同一段字符,改变其中的描述,内容不变(例如:空格的多少、改变标点的全角半角等)观察签名后的结果。
MD5算法原理的说明
03-01
测试: zhong7758521 : 50945d41c5b4f365296a68ea416dc2c7 UJRdQcW082UpamjqQW3Cxw== 博文链接:https://graduate.iteye.com/blog/239817
HTML5可能导致的新攻击
亚信安全-云安全博客
12-21 764
作者:Robert,趋势科技资深威胁研究员 这篇文章是HTML5系列的第二篇。你也可以先看看第一篇:探讨新的HTML5标准,以了解那些能够加强网站互动性的新功能。而在今天的这篇文章里,趋势科技将带领读者看 看这些HTML5功能可能被攻击者滥用的方式。这里并不打算详尽的进行举例,但如果有兴趣了解更多内容,我们会在本系列第三篇中讨论关于HTML5攻击的深入报告。 下面的内容并没有
揭密HTML5带来的攻击手法
bylfsj的博客
10-06 687
HTML5 是下一代的 HTML,HTML5赋予网页更好的意义和结构。更加丰富的标签将随着对RDFa的,微数据与微格式等方面的支持,构建对程序、对用户都更有价值的数据驱动的Web。基于HTML5开发的网页APP拥有更短的启动时间,更快的联网速度。本文详细介绍了HTML5的普及,带来的新的安全威胁。 一:CORS(Cross...
密码破解字典攻击(C/C++代码实现)
最新发布
chen1415886044的博客
08-13 3394
字典攻击是一种通过系统地将字典中的每个单词作为密码输入,从而侵入受密码保护的计算机、网络或其他IT资源的方法。字典攻击也可以用于查找解密加密消息或文档所需的密钥。 字典攻击之所以有效,是因为许多计算机用户和企业坚持使用普通单词作为密码。这些攻击通常针对使用多字密码的系统不成功,也经常针对由大小写字母和随机组合的数字组成的密码不成功。 在密码要求很高的系统中,暴力攻击方法有时是有效的,在这种方法中,字符和空格的每一个可能组合都要测试到一定的最大长度。然而,暴力攻击可能需要很长时间才能产生结果。
MD5摘要+salt提高攻击难度
纵马饮白虹的博客
01-03 1001
当前摘要算法如MD5、SHA-1等特别是MD5因为类似差分路径攻击等算法和计算机性能的提高,大大减少了找碰撞对的难度,加上用户和程序员在设置密码时人为的因素导致,在某些场合下破解成本已经大幅下降 研究了下通过加盐提高破解成本的方法 摘要算法输出固定位数的结果,因此 生成的可能性一共就那些种组合,虽然很大 但是因为输入的位数不限,因此所有输入的组合可以说是无穷,将无穷种可能映射到一个常量级的组合...
网络渗透测试实验二
qq_62623325的博客
11-24 1259
网络渗透测试二
字典攻击——彩虹表攻击与防御
weixin_44555663的博客
10-28 6277
1.针对口令文件(password file)的“批处理字典攻击” Batch dict. Attack: 对于每个密码w ∈ Dict:使用快速查找测试H(w)是否出现在口令文件F中,总时间:O(| Dict | + | F |) 2.什么叫做彩虹表攻击? 其实彩虹表攻击只是批处理字典攻击的一种具体实现,它的主要特点是“以时间换空间”,意思是查表时间变长了,但所需存储空间减少了。 一般获取了密码数据后,hacker通常要么穷举密码后将哈希值比对,但耗时长; 要么提前生成可能密码与哈希串的对照表并存储后查
密码攻击之基于字典和彩虹表的密码攻击
不忘初心,护天下安全!
11-05 3669
一、撞库攻击 最近经常听到撞库攻击的有关新闻,撞库就是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。作为一个小白,我先从破解口令散列值的尝试入手。 二、Hash函数的特点 哈希函数:把任意长度的输入,通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入...
MD5+Salt+SHA1加密:提升密码安全的策略与实现
首先,MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,用于生成固定长度的摘要,将任意长度的输入数据压缩为128位(16字节)的哈希值,常用于校验数据完整性。在Java中,通过`MessageDigest....
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值