关于hash(二):对密码进行哈希

最新推荐文章于 2023-07-10 18:45:27 发布
最新推荐文章于 2023-07-10 18:45:27 发布
阅读量1.6k 收藏
点赞数
分类专栏: 自主提升 文章标签: 哈希算法 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012288582/article/details/122433400
版权

1、概述

关于hash(一):基本概念一文可知,hash过程虽然不可逆,但却可以使用查表法、暴力破解等方式从hash值中恢复出原始数据,所以如果仅仅是使用hash算法对明文进行处理得到hash值,并将hash值作为密码的行为是及其不安全的,为了从一定程度上降低受到攻击的风险,安全专家们发明了一种“加盐(salting)”的技术。
在密码学中,盐(salt)是在散列之前往待散列内容中加入的随机字符串,往待散列前的内容中加入字符串的过程称为“加盐”。

注意:
还需要注意的是用来保护密码的hash函数跟数据结构课上见过的hash函数不完全一样。比如实现hash表的hash函数设计的目的是快速,但是不够安全。只有加密hash函数(cryptographic hash functions)可以用来进行密码的hash。这样的函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。

2、为什么加盐会降级密码被破解的风险

看下表中的例子,在第一行中,字符串yschlj在不加盐时通过MD5散列后的hash值为9ef955becb90f111522b599b91393118,通过查表、暴力破解等方式是可以找到该hash值对应的原始内容的,在第二行中,字符串yschlj与盐wka拼接后的再通过MD5散列后的hash值为53dc0f081b142eec156aa32ff568c2ba,此时如果此hash值泄露的话,我们假设依然可以从该hash值中恢复出原始字符串,但是由于此时salt也参杂在原始字符串中,在不知道salt的情况下,也不容易猜出哪些字符是原文密码哪些是salt,从这个角度来看加盐会降低密码被破解的风险。

原始数值salt32位的MD5值
yschlj不加盐9ef955becb90f111522b599b91393118
yschljwka53dc0f081b142eec156aa32ff568c2ba

3、加盐时常犯的错误

盐值重复、盐值过短、用户名作为盐值、组合使用哈希函数或两次使用哈希。
盐值重复
切忌不可为所有账号使用同一个盐值,正确做法是用户创建账号或每次修改密码时,都应该重新生成新的盐值进行加密。
盐值过短
如果盐值过短,攻击者们依然可以构造出一个包含所有可能的盐值的表,推荐盐值的长度应与哈希函数输出的值长度相等,比如SHA256算法的输出是32个字节,那么盐值长度至少也应该是32个随机字节。
用户名作为盐值
不推荐把盐值作为盐值使用。

组合使用哈希函数或两次使用哈希
组合使用哈希函数也是不推荐的做法,不要发明自己的加密方法,使用已经设计好的标准算法是可取的。常用的一些组合哈希函数有(都不推荐使用):

sha1(str_rot13(password + salt))
md5(sha1(password))
sha1(sha1(password))
md5(sha1(md5(md5(password) + sha1(password)) + md5(password)))
md5(md5(salt) + md5(password))
欧阳方超
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
密码为什么要用Hash值储存?了解Hash算法原理
m0_69916115的博客
08-12 2097
Hash算法哈希算法Hash算式,散列算法,消息摘要算法)将任意长度的进制值映射为较短的固定长度的进制值,这个小的进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。一般用于快速查找和加密算法。简单来说就是,哈希(Hash)算法,即散列函数。...
MYSQL数据库的密码修改
我的1024的博客
11-21 160
修改mysql用户密码(USER为用户名,PASSWORD为新密码) mysqladmin -u USER -p password PASSWORD 但是需要先输入原密码 这个方法要先登陆mysql update user set password=PASSWORD('123')where user='root' flush privileges   set password 语句 这...
通宵写6000字,浅谈密码的破解(破解HASH算法加密)
程序羊的博客
03-26 9703
本文介绍了常见的密码破解方法,给出了如何避免密码被破解的思路,相信读者阅读本文后,就会对密码的加密有一个正确的认识,并对密码正确进行加密措施。
jhash::key:Java中的密码哈希实用程序
05-23
贾什 Java中的密码哈希实用程序。 它可以使用PBKDF2 hmac SHA1 / SHA256 / SHA512,BCRYPT或SCRYPT来对密码进行哈希处理,并且可以自动添加盐并且具有Pepper选项。 下载 Maven: < dependency> < groupId>com.amdelamar</ groupId> < artifactId>jhash</ artifactId> < version>2.2.0</ version> </ dependency> Gradle: dependencies { compile ' com.amdelamar:jhash:2.2.0 ' } SBT: libraryDependencies ++ = Seq ( " com.amdelamar " % " jhash
ntlmv2hash:计算Windows NTLMv2密码哈希
04-07
ntlmv2hash-计算Windows NTLMv2密码哈希 使用Go导入路径 eagain.net/go/ntlmv2hash 和文档
bcrypt:BCrypt密码哈希功能的Swift实现
05-17
BCrypt 软件包中使用的BCrypt密码哈希函数的Swift实现。 用法 杂凑 import BCrypt let digest = try BCrypt. Hash . make ( message : " foo " ) print (digest. string ) 核实 import BCrypt let digest = " $2a$04$TI13sbmh3IHnmRepeEFoJOkVZWsn5S1O8QOwm8ZU5gNIpJog9pXZm " let result = try BCrypt. Hash . verify ( message : " vapor " , matches : digest) print (result) :open_book: 文献资料 请访问Vapor Web框架的以获取有关如何使用此软件包的说明。 :droplet: 社区 一下,加入Vapor开发人员的欢迎社区。
H3C交换机密码加密解密
mylovelylydia的专栏
06-08 1万+
https://github.com/grutz/h3c-pt-tools/blob/master/hh3c_cipher.py PyCrypto安装地址
密码学基础(一)——哈希算法
奔跑的蜗牛_Kieasr
10-06 5503
由于哈希算法的单向性,可以从前一个数据块原文计算出下一个数据块所用的哈希值输入,但已知一个哈希值输入,难以反推出所有可能的数据块原文。哈希算法哈希算法不可逆,包括:MD4、MD5、hash1、ripeMD160、SHA256、SHA3、Keccak256、国家标准SM3(国家密码管理局)哈希加“盐”(salt),所谓加“盐”,就是在明文的随机位置加上一串随机的字符串再进行hash,防止彩虹表攻击。加密/解密算法:加密解密算法可逆,但是必须要有秘钥,对称加密,非对称加密,数字签名算法DSA。
使用Ophcrack破解系统Hash密码
zero_295813128的专栏
07-17 1万+
Ophcrack是一款利用彩虹表来破解 Windows密码的工具。其次是两篇有关Ophcrack的技术文章:杜莉翻译的“安全高手的利器认识彩虹哈希表破解工具”(http://tech.ccidnet.com/art/237/20070913/1211093_1.html),昵称为“寻找人生的起点”写的“使用Rainbow tables和Ophcrack的组合工具破解Windows密码”(htt
密码Hash函数
weixin_30625691的博客
07-01 1081
定义:   Hash函数H将可变长度的数据块M作为输入,产生固定长度的Hash值h = H(M)。   称M是h的原像。因为H是多对一的映射,所以对于任意给定的Hash值h,对应有多个原像。如果满足x≠y且H(x)=H(y),则称为碰撞。 应用:   用于验证数据的完整性,即判断数据是否被篡改过。 密码Hash函数的定义:   在安全应用中使用的Hash函数。 密码Hash...
passwordHash:Go的密码哈希兼容功能
04-12
密码哈希 密码哈希包与Node的password-hash兼容 用法 package main import "github.com/malixsys/passwordHash" func main () { // Generate a hashed password testPassword := `test1234` hashedPassword := passwordHash . Generate ( testPassword , nil ) // Test correct password in constant time valid := passwordHash . Verify ( hashedPassword , testPassword ) log . Printf ( "The password validity is %t against
mysql_password_hash:MySQL密码哈希生成器
05-26
mysql_password_hash MySQL密码哈希生成器 该Python程序创建了一个MySQL 5密码哈希,可用于使用哈希而不是密码来创建MySQL GRANTS。 这在许多情况下很有用,包括使用Puppet的Puppetlabs-MySQL模块,该模块在创建GRANT时要求密码哈希 例如: GRANT ALL ON *.* to user@% identified by PASSWORD 'PASS-HASH'; 该程序可以生成任意长度的随机密码并提供哈希值,也可以要求输入密码然后输出哈希值。 它既适用于命令行参数,也适用于交互模式。 用法 用法:netapp_replication_report.py [-h] [-c配置] [-s主机名] [-u用户名] [-p密码] [-r RPO] $ ./mysql_password_hash -h usage: mys
区块链密码学之hash
神神秘秘
04-12 580
介绍 Hash函数是密码学的一个重要分支,它是一种将任意长度的输入变换为固定长度的输出且不可逆的单向密码体制。Hash函数在数字签名和消息完整性检测等方面有着广泛的应用。Hash函数又称为哈希函数、散列函数、杂凑函数。它是一种单向密 码体制,即一个从明文到密文的不可逆映射,只有加密过程,没有解密过程。 特性 Hash函数可以将满足要求的任意长度的输入进行转换,从而得到固定长度的输出。这个固定...
密码Hash函数、消息认证码、数字签名和用户认证
王较瘦的博客
03-24 7808
在安全应用中使用的Hash函数称为密码Hash函数 密码Hash函数要求两种情况在计算上不可行(即没有攻击方法比穷举更有效): 对预先指定的Hash值找到对应的数据块(单向性) 找到两个不同的数据块对应相同的Hash值(抗碰撞性) Hash函数被用于判断数据是否被篡改过(数据完整性) Hash函数的操作过程: 输入数据的长度首先被填充为某固定长度(如1024位)分组的整数倍,填充的内容包...
密码算法 之八】Hash算法(单向散列函数) MD5 \ SHA1 \ SHA224 \ SHA256 \ SHA384 \ SHA512等浅析
KXue0703的博客
03-01 4746
MD5与SHA-1算法已被攻破,不应该再用于新的用途;SHA-2与SHA-3还是安全的,可以使用。SHA-2包括:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。SHA-3包括:SHA3-224、SHA3-256、SHA3-384、SHA3-512。算法分组长度(bytes)输出长度(hash value)(bytes)是否安全SM36432安全MD46416不安全MD56416不安全SHA164。
Hash加密算法总结
最新发布
javasimawanyi的博客
07-10 4808
Hash加密算法是一种快速、不可逆和安全的算法,被广泛应用于数字签名、数据完整性验证等信息安全领域。常见的Hash算法包括MD5和SHA算法Hash算法的应用场景包括数据完整性验证和数字签名等。
Hash算法总结
热门推荐
asdzheng的专栏
04-18 12万+
Hash是什么,它的作用先举个例子。我们每个活在世上的人,为了能够参与各种社会活动,都需要一个用于识别自己的标志。也许你觉得名字或是身份证就足以代表你这个人,但是这种代表性非常脆弱,因为重名的人很多,身份证也可以伪造。最可靠的办法是把一个人的所有基因序列记录下来用来代表这个人,但显然,这样做并不实际。而指纹看上去是一种不错的选择,虽然一些专业组织仍然可以模拟某个人的指纹,但这种代价实在太高了。
h3c 交换机 密文 有解密办法吗?
jiaoyang8888的博客
02-24 4297
用户名123 密码123 可逆 local-user 123 password cipher $c333kK6PWyha6eFuCtZ0QfnE1jVsmBOaiw== 用户名123 密码123 可逆 local-user 123 password cipher $c333pMPmSNUJDQwJEM04Bz1ZZvwN4Pcu8w== 用户名123 密码123 不可逆 local-user 123 password hash cipher $h$69BI4UVuIqGgbanLE9
DB2的下载、安装
欧阳方超的专栏
06-30 1万+
test1
.net技术对注册登录的密码进行md5哈希值加密和解密
06-02
在 .NET 技术中,可以使用 System.Security.Cryptography 命名空间下的 MD5 类对密码进行哈希加密和解密。 加密代码示例: ```csharp string password = "myPassword"; byte[] data = Encoding.ASCII.GetBytes(password); MD5 md5 = new MD5CryptoServiceProvider(); byte[] hashData = md5.ComputeHash(data); string hashedPassword = Convert.ToBase64String(hashData); ``` 解密代码示例: 由于哈希算法是不可逆的,所以无法对密码进行解密。在验证密码时,需要将用户输入的密码进行哈希加密后,与数据库中存储的哈希进行比对。 ```csharp string password = "myPassword"; byte[] data = Encoding.ASCII.GetBytes(password); MD5 md5 = new MD5CryptoServiceProvider(); byte[] hashData = md5.ComputeHash(data); string hashedPassword = Convert.ToBase64String(hashData); // 假设从数据库中获取到的哈希值为 storedHashedPassword if (hashedPassword == storedHashedPassword) { // 密码验证通过 } else { // 密码验证不通过 } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值