java哈希加盐 加密密码_盐腌哈希密码简介

最新推荐文章于 2024-07-17 15:35:55 发布
最新推荐文章于 2024-07-17 15:35:55 发布
阅读量898 收藏
点赞数
文章标签: java https md5 哈希表 哈希
原文链接:https://medium.com/swlh/introduction-to-salted-hashed-passwords-d19bd6f92480
版权

java哈希加盐 加密密码

When LinkedIn was hacked in 2012, many users were surprised to learn that their accounts were easily compromised due to the minimal security surrounding password encryption. LinkedIn used a technique known as password hashing, which enabled attackers to quickly brute-force hundreds of thousands of passwords within 72 hours.

当LinkedIn 在2012遭到黑客攻击时 ,许多用户惊讶地发现,由于围绕密码加密的最低安全性,他们的帐户很容易遭到破坏。 LinkedIn使用了一种称为密码哈希的技术,该技术使攻击者能够在72小时之内快速暴力破解成千上万个密码

什么是密码哈希 (What is Password Hashing)

Password hashing is a simple way of storing users’ passwords in a database. Users enter their password, which is then inserted into a hash function that then maps the users password to a fixed-length string of random characters. Some common hash functions include MD5 and SHA256.

密码哈希是将用户密码存储在数据库中的一种简单方法。 用户输入他们的密码,然后将其插入到哈希函数中 ,该哈希函数随后将用户密码映射到固定长度的随机字符字符串。 一些常见的哈希函数包括MD5和SHA256。

Password hashing may seem secure on the surface, since users’ passwords are not stored in plain-text. However, what happens when two users use the same password? Or users use a common password such as “password” or “abc123”?

从表面上看,密码散列似乎是安全的,因为用户密码不是以纯文本格式存储的。 但是,当两个用户使用相同的密码时会发生什么? 还是用户使用诸​​如“ password”或“ abc123”之类的通用密码?

Image for post
An example username-password database using the SHA256 hashing function. Alice and Charlie share the same password “password”
使用SHA256哈希函数的示例用户名密码数据库。 爱丽丝和查理使用相同的密码“ password”

With password hashing, if two users use the same password they will have the same password hash. With common passwords, it’s even worse since there are many lists online with the most common passwords and their hashes. In this case, the passwords might as well be in plain-text, since attackers who can get their hands on your database will be able to quickly determine common passwords from their respective hashes.

使用密码哈希,如果两个用户使用相同的密码,则他们将具有相同的密码哈希。 使用通用密码,情况更糟,因为在线上有许多列表包含最通用的密码及其哈希值。 在这种情况下,密码也可能是纯文本格式的,因为可以使用您的数据库的攻击者将能够从各自的哈希中快速确定常用密码。

什么是盐? (What is a Salt?)

A salt is a random character string that is added to the beginning or the end of a password. This salt is unique to each user, and is stored in the database along with the username and salted-hashed password.

是添加到密码开头或结尾的随机字符串。 该盐对于每个用户而言都是唯一的,并与用户名和盐密密码一起存储在数据库中。

Image for post
An example username-password database using the SHA256 hashing function with a salt. Alice and Charlie share the same password “password” but have different salts.
一个示例用户名-密码数据库,它使用带有盐的SHA256哈希函数。 爱丽丝(Alice)和查理(Charlie)使用相同的密码“ password”,但盐不同。

为什么要用盐? (Why use a Salt?)

Salts solve the collision problem that hash functions suffer from. Even if two users share the same password, as long as the salt for each user is unique, they will have a different salted-hashed password. Salts increase the search space that attackers use to try to brute-force passwords by increasing the complexity of each password. The best part about salts is that they increase the complexity of each users’ password without any additional effort from the user.

盐解决了哈希函数遭受的冲突问题。 即使两个用户共享相同的密码,只要每个用户的密码都是唯一的,他们将具有不同的密码哈希密码。 盐增加了每个密码的复杂性,从而增加了攻击者用于尝试暴力破解密码的搜索空间。 关于盐的最好之处在于,它们增加了每个用户密码的复杂性,而无需用户付出任何额外的努力。

如何实施? (How is it implemented?)

Salts should be randomly generated on the developers’ side when a user creates their password. Different programming languages may have built-in methods or rely on libraries to create random fixed-length strings. Once the salt is generated, it should be added either at the beginning or the end of the password before being sent to the hashing function like so:

用户创建密码时,应在开发者一方随机生成盐。 不同的编程语言可能具有内置方法,或依赖于库来创建随机的固定长度字符串。 生成盐后,应在将其发送到哈希函数之前将其添加到密码的开头或结尾,如下所示:

Salted-Hash = SHA256(password + salt)

Salted-Hash = SHA256(密码+盐)

常见错误 (Common Mistakes)

The two most common mistakes with salts are salt reuse and short salt.

盐的两个最常见的错误是盐再利用短盐。

Salt reuse occurs when a developer uses the same salt for each password and basically makes the salt useless. Users with the same password will have the same salted-hashed password and if an attacker can guess the salt, they can brute-force the passwords with ease.

当开发人员为每个密码使用相同的盐并基本上使盐无用时,就会发生盐重用 。 具有相同密码的用户将具有相同的哈希密码,并且如果攻击者可以猜到盐,他们可以轻松地对密码进行暴力破解。

Short salt refers to a salts’ length being too short. The problem with this is that attackers can simply generate each combination of characters with that length and pair it with common passwords to brute-force some of your users’ password.

短盐是指盐的长度太短。 这样做的问题是,攻击者可以简单地生成具有该长度的每个字符组合,并将其与常用密码配对,以蛮力地强制使用某些用户的密码。

翻译自: https://medium.com/swlh/introduction-to-salted-hashed-passwords-d19bd6f92480

java哈希加盐 加密密码

weixin_26636643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
加密解密秘钥sha256带
05-16
sha256不含值 sha256含值 sha256含值的校验 生成秘钥 加密AES128 解密AES128
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
热门推荐
西京刀客
06-15 3万+
文章目录一、linux密码设置及登陆控制1. Linux中pam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linux中pam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机
Java中使用加密
最新发布
程序员大腾的博客
07-17 443
使用加密的方式,泄露加密后的密码也是大不了的事,根本破解不了,即使是123456也展现为 无数种字符串形式。
linux Pam密码安全管理
利博瑞特
10-13 1861
<br />linux 系统中加强密码强度和密钥安全的机制,可以利用插件式鉴别模块PAM(Pluggable Authentication Modules)来实现用户密码强度管理。<br />PAM的特点是将密钥安全管理与具体的应用分离开来实现,而且也是Linux系统默认支持的。系统中的Adduser, passwd等涉及到的密码设置都用到PAM,<br />我们只需修改Pam设置便可实现密码安全管理(也包括安全访问)。已经利用pam_passwdqc库实现密码强度检查(包括最小长度,多种字符类型等)。<b
存放密码的正确姿势 安全可靠加密 SHA-256(+Salt)
shelutai的博客
10-16 3267
就目前为止,还没有能够逆向破解SHA256的工具.他们所谓的破解无非是不断的去 “碰撞”尝试。这个就非常简单,SHA-256是不可逆加密,所以我们只需要将用户输入进来的密码,再过一遍SHA-256加密计算。然后再和数据库内存的加密密码对比,如果相同,说明用户输入的密码是正确的。@#ABC) 进行SHA-256加密->得到任意 256 长度的散列码。再将得到的 256位散列码 在末尾加上我们的,再计算一次SHA-256的值->得到加了的256位散列码。此时我们存进数据库的就是加了的256位散列码。
PAM安全策略——账号锁定,账号解锁
weixin_53389944的博客
10-25 2639
命令无效,可能是因为 PAM 配置文件设定了密码解锁的要求,例如需要等待一定时间或者成立某些条件才能解锁。linux系统中配置了pam安全策略,用户输错5次密码后锁定账号,账号锁定后怎么解锁,用了passwd -u没有效果。请注意,这个解锁方法可能因不同的 Linux 发行版和 PAM 配置而略有不同,请根据您实际的情况和需求调整命令。如果以上方法无效,可能是由于其他配置或系统限制导致的。这个命令将重置账号的登录失败计数器,以及锁定账号的状态。账号将被解锁,可以再次正常登录。替换为要解锁的实际用户名。
密码哈希加密例子
07-02
密码哈希加密测试例子,一个不可反算的,绝对安全的加密
java生成md5密码加盐
07-10
本文将详细介绍Java和SpringBoot如何实现加盐MD5密码生成。 首先,MD5是一种单向哈希函数,它将任意大小的数据转换为128位的哈希值,通常以32位的十六进制字符串表示。其优点是计算速度快,但缺点是容易遭受彩虹...
JAVA密码保护页面 .rar_java 密码_页面设置
09-23
- **密码存储**:不要明文存储密码,应使用加盐哈希算法进行加密。 - **验证码**:在登录页面添加验证码可以防止恶意的自动化尝试。 - **多因素认证**:除了密码,还可以加入手机短信验证或邮箱验证,提高安全性。 -...
Django中密码加密、验密、解密操作
09-18
2. `salt` (可选): Salt)是一个随机字符串,用于增加密哈希的复杂性,使得相同的密码哈希后得到不同的结果。如果未指定,Django会自动生成一个值。 3. `algorithm` (可选): 加密算法的名称,如`pbkdf2_sha...
(Java密码加密)MD5方式
03-29
因此,现代密码存储通常采用更安全的算法,如SHA-256或bcrypt,并结合加盐salt)和多次迭代以提高安全性。 总的来说,MD5Java中的使用提供了一种简单的密码加密方式,但随着技术的发展,开发者应考虑使用更强大...
Linux 解锁用户命令
qq_52544423的博客
06-01 5902
pam_tally2 是一个 Linux 系统下的 PAM 模块,用于记录用户登录失败的次数。当一个用户登录失败的次数超过了预设的阈值时,pam_tally2 会锁定该用户的账户,防止攻击者使用暴力破解的方式破解密码。是需要解锁的用户账户名。这个命令会将指定用户的登录失败计数器重置为 0,从而解锁该用户账户。注意,你需要以 root 用户身份运行此命令。pam_tally2解锁用户命令。
C#使用 Salt + Hash 来为密码加密
chengly0129的专栏
07-19 2016
(一) 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。 解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(Hash Function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如
密码学】轻松理解“加盐”的原理与java实现
David的博客
05-11 3万+
上一篇博客中说到防御彩虹表攻击最常用的方法就是加盐,那么什么是加盐呢? 一、什么是加盐? 1.背景 现在很多公司后台以hash值形式存储用户密码(虽然本文以MD5哈希函数为例,但becrypt函数最常用的),用于哈希函数存在碰撞的特性,当后台数据库被攻击然后获取到用户密码哈希值时,还是能通过一定的方法(比如彩虹表攻击)破解用户密码。 举个例子:http://...
加盐哈希 java_加盐密码哈希:如何正确使用
weixin_33953395的博客
02-17 124
Crayon-pre" style="margin: 0px; padding-right: 0px; padding-left: 0px; text-align: left; white-space: pre; overflow: visible; tab-size: 4; border: none !important; padding-top: 5px !important; padding...
MD5对传入的字符串进行加密
Funny_Ma的博客
09-15 476
可以用做项目中的工具类MD5Utils package com.lrm.util; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; /** * Created by mazhao on 2019/08/31. */ public class MD5Utils { ...
Sha256Hash+salt 加密
老孟嘚吧嘚
09-16 2万+
1.对比 2.加密种类的简单了解 3.为什么要加盐salt? 4.如何验证登录 1.对比 无加密数据库 2.加密之后的 2.加密种类的简单了解 常见加密算法分类 对称加密算法:DES、3DES、DESX、Blowfish、IDEA、RC4、RC5、RC6和AES 非对称加密算法:RSA、ECC(移动设备用)、Diffie-Hellman、El Ga...
Linux CentOS7 服务器密码策略配置修改
Ahuuua的博客
06-17 5939
CentOS密码策略配置
Sha256Hash+salt 密码加密使用
qq_37361514的博客
07-28 2034
代码】Sha256Hash+salt密码加密使用。
java md5加盐加密
05-10
MD5加盐加密可以增加密码的安全性,下面是Java代码示例: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; public class MD5SaltDemo { public static void main(String[] args) { String password = "123456"; String salt = getSalt(); String hashedPassword = getMD5Hash(password + salt); System.out.println("Hashed password: " + hashedPassword); } private static String getMD5Hash(String input) { MessageDigest md = null; try { md = MessageDigest.getInstance("MD5"); byte[] bytes = md.digest(input.getBytes()); StringBuilder sb = new StringBuilder(); for (byte b : bytes) { sb.append(Integer.toHexString((b & 0xFF) | 0x100).substring(1, 3)); } return sb.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); return null; } } private static String getSalt() { SecureRandom random = new SecureRandom(); byte[] saltBytes = new byte[16]; random.nextBytes(saltBytes); StringBuilder sb = new StringBuilder(); for (byte b : saltBytes) { sb.append(String.format("%02x", b)); } return sb.toString(); } } ``` 首先,我们通过`getSalt()`方法生成一个随机的值,并将其与原始密码拼接起来,然后将拼接后的字符串作为输入,通过`getMD5Hash()`方法得到MD5散列值。最终的哈希密码就是原始密码值的组合。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值