Hashed password with salted value——利用salt对密码进行散列

最新推荐文章于 2023-12-22 00:20:03 发布
最新推荐文章于 2023-12-22 00:20:03 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: PHP

在没有学习web安全密码学部分的时候,我自己全部的密码都是同一个,而且是7位数字组成的。还好我本身没有什么财产好损失,不过都不会再犯这种愚蠢错误了。

     我们为什么需要对密码进行hash化,又为什么要在hash化之前给它加一个随机值?我想从一个例子分析起:我看过一个黑客的文章,讲的是他通过一些技术手段进入了一个刚刚起步的网站,他表示这个网站的安全问题非常严重,严重到可以拿到所有用户的用户名,邮箱和密码。大家可能都有这样的感受,就是不爱记忆太多的密码,所以大部分的网站或者应用都用了同一个密码!这样,黑客不仅可以进入邮箱,而且可以进入QQ、MSN等及时聊天系统,从而获得更多的私人关系和关心网信息,这也就是为什么会有那么多利用QQ进行诈骗亲朋好友的案例。还好写这个文章的黑客没有恶意,只是指出了这个网站的问题,否则后果不堪设想(由此看来大部分黑客的职业操守还是很高的o(∩_∩)o )。

     所以这个故事告诉我们,尽量不要用相同的密码,特别是重要的如银行账户之类的,一定要谨慎。那么大家现在都知道对密码进行hash,比如MD5之类的可以比较有效的防止被破译。但是事实真的是这样吗?

     如果直接对密码进行hash,那么黑客可以对一个已知密码进行散列,然后通过对比散列值得到某用户的密码。换句话说,虽然黑客不能取得某特定用户的密码,但他可以知道使用特定密码的用户有哪些!这时,我们可以通过加salt来从一定程度上解决这个问题。什么是salt,顾名思义salt这个“佐料”也就是在对密码进行hash时,添加的一个随机数。其基本想法是这样的——当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,以确定密码是否正确。因为salt值是系统随机生成的,即使两个用户用了相同的密码,他们的hash值也不一样,黑客找出密码的几率大大减小了(必须是密码和自己生成的散列值都跟用户相同,这个概率很低了)。

 

下面讨论一下用户注册的过程:

1)用户提供密码(以及其他用户信息);2)系统为用户生成Salt值;

3)系统将Salt值和用户密码连接到一起;4)对连接后的值进行散列,得到Hash值;

5)将Hash值和Salt值分别放到数据库中。

当用户登录时,相应的过程是:

1)用户提供用户名和密码;

2)系统通过用户名找到与之对应的Hash值和Salt值;

3)系统将Salt值和用户提供的密码连接到一起;

4)对连接后的值进行散列,得到Hash'(注意有个“撇”);

5)比较Hash和Hash'是否相等,相等则表示密码正确,否则表示密码错误。

 

感觉说的比较清楚了,也是结合了网上一些资料和自己的体会写出来的。下面用网上一篇博客里的代码详细的分析一下对密码执行散列和salt的方法。正好在学习c#也是对自己的一个提升。

原文链接http://www.cnblogs.com/esshs/archive/2005/03/29/127998.html

[csharp]  view plain copy
  1. <span style="font-size:16px;">using System;  
  2. using System.IO;  
  3. using System.Text;  
  4. using System.Security.Cryptography;  
  5.   
  6. namespace BookStore.Common  
  7. {  
  8.     /// <summary>  
  9.     /// Credentials 的摘要说明。  
  10.     /// 原理:  
  11.     /// 对密码执行散列运算  
  12.     /// 若要避免以明文形式存储密码,一种常见的安全做法是对密码执行散列运算。如以下代码所示,使用 System.Security.Cryptography 命名空间(它实现 160 位 SHA-1 标准)对密码进行散列运算。有关更多信息,请参见 SHA1 成员。  
  13.     /// 对散列执行 Salt 运算  
  14.     /// 虽然对密码执行散列运算的一个好的开端,但若要增加免受潜在攻击的安全性,则可以对密码散列执行 Salt 运算。Salt 就是在已执行散列运算的密码中插入的一个随机数字。这一策略有助于阻止潜在的攻击者利用预先计算的字典攻击。字典攻击是攻击者使用密钥的所有可能组合来破解密码的攻击。当您使用 Salt 值使散列运算进一步随机化后,攻击者将需要为每个 Salt 值创建一个字典,这将使攻击变得非常复杂且成本极高。  
  15.     /// Salt 值随散列存储在一起,并且未经过加密。所存储的 Salt 值可以在随后用于密码验证。  
  16.     /// </summary>  
  17.     public class Credentials  
  18.     {  
  19.         private static string key = "!48%0d-F=cj>,s&2";    //密钥(增加密码复杂度,好像比较多余)  
  20.         private const int saltLength = 4;                //定义salt值的长度  
  21.   
  22.         /// <summary>  
  23.         /// 对密码进行Hash 和 Salt  
  24.         /// </summary>  
  25.         /// <param name="Password">用户输入的密码</param>  
  26.         /// <returns></returns>  
  27.         public static byte[] HashAndSalt(string Password)  
  28.         {  
  29.             return CreateDbPassword(HashPassword(Password));  
  30.         }  
  31.   
  32.         /// <summary>  
  33.         /// 对用户输入的密码加上密钥key后进行SHA1散列  
  34.         /// </summary>  
  35.         /// <param name="Password">用户输入的密码</param>  
  36.         /// <returns>返回 160 位 SHA-1 散列后的的byte[](160位对应20个字节)</returns>  
  37.         private static byte[] HashPassword( string Password )  
  38.         {  
  39.             //创建SHA1的对象实例sha1  
  40.             SHA1 sha1 = SHA1.Create();  
  41.             //计算输入数据的哈希值  
  42.             return sha1.ComputeHash( Encoding.Unicode.GetBytes( Password + key ) );  
  43.         }  
  44.           
  45.         /// <summary>  
  46.         /// 比较数据库中的密码和所输入的密码是否相同  
  47.         /// </summary>  
  48.         /// <param name="storedPassword">数据库中的密码</param>  
  49.         /// <param name="Password">用户输入的密码</param>  
  50.         /// <returns>true:相等/false:不等</returns>  
  51.         public static bool ComparePasswords(byte[] storedPassword, string Password)  
  52.         {  
  53.             //首先将用户输入的密码进行Hash散列  
  54.             byte[] hashedPassword = HashPassword(Password);  
  55.   
  56.             if (storedPassword == null || hashedPassword == null || hashedPassword.Length != storedPassword.Length - saltLength)  
  57.             {  
  58.                 return false;  
  59.             }  
  60.   
  61.             //获取数据库中的密码的salt 值,数据库中的密码的后4个字节为salt 值  
  62.             byte[] saltValue = new byte[saltLength];  
  63.             int saltOffset = storedPassword.Length - saltLength;  
  64.             for (int i = 0; i < saltLength; i++){  
  65.                 saltValue[i] = storedPassword[saltOffset + i];  
  66.             }  
  67.               
  68.             //用户输入的密码用户输入的密码加上salt 值,进行salt  
  69.             byte[] saltedPassword = CreateSaltedPassword(saltValue, hashedPassword);  
  70.           
  71.             //比较数据库中的密码和经过salt的用户输入密码是否相等  
  72.             return CompareByteArray(storedPassword, saltedPassword);  
  73.         }  
  74.   
  75.         /// <summary>  
  76.         /// 比较两个ByteArray,看是否相等  
  77.         /// </summary>  
  78.         /// <param name="array1"></param>  
  79.         /// <param name="array2"></param>  
  80.         /// <returns>true:相等/false:不等</returns>  
  81.         private static bool CompareByteArray(byte[] array1, byte[] array2)  
  82.         {  
  83.             if (array1.Length != array2.Length)  
  84.             {  
  85.                 return false;  
  86.             }  
  87.             for (int i = 0; i < array1.Length; i++)  
  88.             {  
  89.                 if (array1[i] != array2[i])  
  90.                 {  
  91.                     return false;  
  92.                 }  
  93.             }  
  94.             return true;  
  95.         }  
  96.   
  97.         /// <summary>  
  98.         /// 对要存储的密码进行salt运算  
  99.         /// </summary>  
  100.         /// <param name="unsaltedPassword">没有进行过salt运算的hash散列密码</param>  
  101.         /// <returns>经过salt的密码(经过salt的密码长度为:20+4=24,存储密码的字段为Binary(24))</returns>  
  102.         private static byte[] CreateDbPassword(byte[] unsaltedPassword)  
  103.         {  
  104.             //获得 salt 值  
  105.             byte[] saltValue = new byte[saltLength];  
  106.             RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider();  
  107.             rng.GetBytes(saltValue);  
  108.               
  109.             return CreateSaltedPassword(saltValue, unsaltedPassword);  
  110.         }  
  111.           
  112.         /// <summary>  
  113.         /// 创建一个经过salt的密码  
  114.         /// </summary>  
  115.         /// <param name="saltValue">salt 值</param>  
  116.         /// <param name="unsaltedPassword">没有进行过salt运算的hash散列密码</param>  
  117.         /// <returns>经过salt的密码</returns>  
  118.         private static byte[] CreateSaltedPassword(byte[] saltValue, byte[] unsaltedPassword)  
  119.         {  
  120.             //将salt值数组添加到hash散列数组后拼接成rawSalted数组中  
  121.             byte[] rawSalted  = new byte[unsaltedPassword.Length + saltValue.Length];   
  122.             unsaltedPassword.CopyTo(rawSalted,0);  
  123.             saltValue.CopyTo(rawSalted,unsaltedPassword.Length);  
  124.               
  125.             //将合并后的rawSalted数组再进行SHA1散列的到saltedPassword数组(长度为20字节)  
  126.             SHA1 sha1 = SHA1.Create();  
  127.             byte[] saltedPassword = sha1.ComputeHash(rawSalted);  
  128.   
  129.             //将salt值数组在添加到saltedPassword数组后拼接成dbPassword数组(长度为24字节)  
  130.             byte[] dbPassword  = new byte[saltedPassword.Length + saltValue.Length];  
  131.             saltedPassword.CopyTo(dbPassword,0);  
  132.             saltValue.CopyTo(dbPassword,saltedPassword.Length);  
  133.   
  134.             return dbPassword;  
  135.         }  
  136.   
  137.     }  
  138. }</span>  
杨光-Terence_Yang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加盐密码哈希:如何正确使用
weixin_34014277的博客
03-19 2224
来源:http://blog.jobbole.com/61872/#csharp 本文由 伯乐在线 - 蒋生武 翻译自 Crackstation。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。   如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险...
mongoose-hashed-field:Mongoose 的散列密码字段插件
07-01
每当您为散列字段分配一个值时,它将使用 bcrypt 进行散列。 插件旨在简化在数据库中保存散列密码的过程。 模式示例 以这个模式为例: var mongoose = require ( 'mongoose' ) ; var hashedField = require ( '...
如何安全的存储用户的密码【摘】
weixin_33971130的博客
03-17 681
2019独角兽企业重金招聘Python工程师标准>>> ...
How to Hash Data with Salt
weixin_34242658的博客
12-29 74
/////////////////////////////////////////////////////////////////////////////// // SAMPLE: Hashing data with salt using MD5 and several SHA algorithms. // // To run this sample, create a new Visual...
《Spring Security3》第四章第三部分翻译下(密码salt
张卫滨的技术记录
08-05 181
  你是否愿意在密码上添加点salt?   如果安全审计人员检查数据库中编码过的密码,在网站安全方面,他可能还会找到一些令其感到担心的地方。让我们查看一下存储的admin和guest用户的用户名和密码值:          用户名 明文密码 加密密码 admin admin 7b2e9f54cdff413fcde01f330...
hash 密码校验
weixin_44517278的博客
12-22 1024
import bcrypt def hash_password(password): # 生成一个新的salt salt = bcrypt.gensalt() print(salt) # 使用生成的salt哈希密码 hashed_password = bcrypt.hashpw(password.encode('utf-8'), salt) print(hashed_password) # 将salt和哈希密码合并以便存储 stored_pa
passwordHash:Go的密码哈希兼容功能
04-12
密码哈希 密码哈希包与Node的password-hash兼容用法package mainimport "github.com/malixsys/passwordHash" func main () { // Generate a hashed password testPassword := `test1234` hashedPassword := password...
js-mongoose-hashed-property:在猫鼬模型中散列密码属性
06-26
在猫鼬模型上散列密码。 安装 npm install --save mongoose-hashed-property 用法 var mongoose = require('mongoose'); var plugin = require('mongoose-hashed-property'); mongoose.connect('localhost/test');...
开源项目-jpillora-hashedpassword.zip
09-04
开源项目-jpillora-hashedpassword.zip,用于散列密码的小型Go包
bcrypt-tool:用于散列和检查 bcrypt 密码的命令行工具
06-07
4. **验证密码**: 当用户输入密码时,使用同样的工具和哈希过的值进行对比,例如 `java -jar bcrypt-tool.jar check "password" hashed_password`。如果返回 true,说明输入的密码正确。 在开发过程中,理解 bcrypt...
password:ES6密码哈希库
05-12
使用PBKDF2轻松地对密码进行哈希处理的库。 经过良好测试,并选择了良好的默认设置。 import password from "@rojo2/password" ; // Hash password const hashedPassword = await password . hash ( ...
S7_password_hashed_extractor_S7-200_finestrdd_s7200_s7-200_S7pas
10-03
S7 password hash 200
xmljava系统源码-jBCrypt:OpenBSD的Blowfish密码散列代码的Java实现
06-06
分组密码的一个版本对密码进行哈希处理,并进行了旨在提高离线密码破解成本的修改。 该算法的计算成本是参数化的,因此可以随着计算机速度的提高而增加。 JUnit 回归测试在 TestBCrypt.java 中可用 jBCrypt 是根据 ...
python修改网站会员登陆密码
最新发布
04-22
总结起来,Python修改网站会员登录密码的过程包括:使用网络请求库发送带有新密码的POST请求,可能需要进行密码哈希比对,与服务器进行交互,以及可能的数据库操作。同时,安全措施是整个过程中不可或缺的一部分,应...
密码:可轻松在Haskell中使用密码的数据类型和功能
02-04
这里,`checkPassword`会将待验证的密码与已有的散列进行比较,返回一个右折叠的结果,如果匹配则为密码文本,否则为错误。 在Haskell中,我们还可以利用类型系统来确保密码不会在不应出现的地方泄露。例如,定义一...
加密里面的salt_SALT的组合加密方式
weixin_39745724的博客
12-20 453
前段时间很多网站被撞库了,我们也不例外。之前用的密码一次MD5加密的算法已经不安全了,因为有太多的地方(http://www.cmd5.com/)可以暴力爆破MD5的加密算法。为了解决这个安全问题,决定对用户密码的加密强度进行改进,将原先的唯一MD5方式进行提升,对密码进行两次的MD5加密,在进行第二次MD5加密的时候,对第一次的MD5的值再加点盐(SALT)。因为煮菜的时候每次放的盐都是不一样的...
如何生成安全的密码 Hash:MD5, SHA, PBKDF2, BCrypt
好好学java
02-23 324
. 一、前言密码 Hash 值的产生是将用户所提供的密码通过使用一定的算法计算后得到的加密字符序列。在 Java 中提供很多被证明能有效保证密码安全的 Hash 算法实现,我将在这篇文章...
[转]C#用SHA对密码加密
weixin_30897233的博客
07-05 90
原文地址: http://ainux.blog.hexun.com/2815875_d.html现在加密技术很多,比如SHA,MD5(已经被破解了),小可想和大家讨论一下在.NET框架中简单应用SHA算法加密用户登录密码的方法。这里我采用的是SHA1(安全散列算法),是将不定长的字符串转换成160位(20字节)字节流散列算法。这里讲的加密一般分以下几个步骤: 密码的建立:1)对用户的原始密码...
在 Java 中对密码进行哈希处理
allway2的博客
09-06 1612
随着计算机功能的增加,以及我们发现新的漏洞,研究人员会推导出新版本的 SHA。接下来,我们将看看 SHA-512,它是 Secure Hash Algorithm 系列的一部分,该系列始于 1993 年的 SHA-0。具有所有四个属性的哈希函数是密码哈希的有力候选者,因为它们一起极大地增加了从哈希中逆向工程密码的难度。最后,我们看到 Spring Security 附带了它的密码加密类,实现了一系列不同的哈希函数。我们将快速了解它是什么,为什么它很重要,以及在 Java 中执行它的一些安全和不安全的方法。
byte HashedPassword密码怎么解析
09-18
### 回答1: 由于HashedPassword散列密码,是一个不可逆向的算法,因此无法直接解析或反向计算出原始密码。这是散列密码的基本特性,保证了密码的安全性。 如果需要验证一个密码是否与HashedPassword匹配,通常可以通过将用户输入的密码使用相同的加密算法进行哈希处理,并将结果与HashedPassword进行比较,如果匹配则代表输入的密码正确。 在实际应用中,为了增加密码强度,通常会采用带有“盐值”的哈希算法计算哈希值,这样即使原始密码相同,由于盐值的不同,计算出的HashedPassword也会不同,从而增加了黑客破解密码的难度。 ### 回答2: 要解析一个 byte HashedPassword 密码,需要使用相应的解析算法和密钥。以下是一个常见的解析过程: 1. 获取密钥:通常,解析一个加密的密码需要密钥。这个密钥可能是预先设定的,或者是通过其他方式生成的。确保你有正确的密钥。 2. 密钥衍生:如果需要,使用适当的密钥派生函数(如 PBKDF2 或 bcrypt)来从给定的密钥派生密钥材料。密钥衍生是为了增加密码的安全性。 3. 解密:使用所得到的密钥将 byte HashedPassword 进行解密。解密算法可能因具体情况而异,取决于加密密码时使用的算法。 4. 校验:在使用解密算法进行解密之后,你可能需要检查解密结果是否与期望的明文密码一致。对于一些现代的密码哈希算法,如 bcrypt 或 Argon2,不需要解密为明文密码,而是使用哈希比较函数直接与输入的明文密码进行比较。 需要注意的是,从 byte HashedPassword 解析出明文密码是一项敏感和复杂的任务。在实际应用中,最好借助密码学专家的指导和使用已被广泛接受的密码哈希和解密算法,以确保密码的安全性。同样,尽量避免储存明文密码,而是将其哈希和加盐后存储,这样即使密码泄露,攻击者也无法立即获取明文密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值