我们数据库的密码该以什么形式存储?

最新推荐文章于 2024-05-03 11:47:20 发布
最新推荐文章于 2024-05-03 11:47:20 发布
阅读量772 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/Doho/archive/2006/10/15/415378.html
版权
在实际应用程序中,我们通常在数据库中存储加密过的口令。假设我们的数据库被非法下载了,如果我们先前用的是非对称加密算法(MD5、RSA…),那么攻击者要破解密码是要付出一定代价的,因为要破译(Break)非对称加密算法的密文最捷径的也是最笨的方法就是穷举(Brute-force)!如果我们用的是对称加密算法加密口令的,一旦攻击者获得了加密密钥,他就可以解密在数据库中存储的所有口令。因此,最好的方法是存储口令的单向散列(将这个口令散列和一个 salt 值组合在一起):
public   static   string  GenerateSalt( int  size)
    {
        RNGCryptoServiceProvider crypto  =   new  RNGCryptoServiceProvider();
         byte [] buff  =   new   byte [size];
        crypto.GetBytes(buff);
         return  Convert.ToBase64String(buff);
    }
     public   static   string  GeneratePwdHash( string  pwd,  string  salt)
    {
         string  saltpwd  =   string .Concat(pwd, salt);
         string  password  =  FormsAuthentication.HashPasswordForStoringInConfigFile(saltpwd,  " SHA1 " );
         return  password;
    }

我的问题是 要验证用户密码的时候每次随机产生的 salt 值都是不同的,再加密一下密码就跟数据库里的不同了,那不是每次验证都失败了?

转载于:https://www.cnblogs.com/Doho/archive/2006/10/15/415378.html

weixin_30263073
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySql数据库的列类型(字段类型).
07-03
MySql数据库的列类型(字段类型).MySql数据库的列类型(字段类型).MySql数据库的列类型(字段类型).MySql数据库的列类型(字段类型).
Redis学习笔记
weixin_45365220的博客
11-05 361
文章目录一. 关于NoSql(not only sql)特点:二. NoSql与SQL数据库的区别:三. Redis特性四. Redis优势五. Redis 命令参考六.Redis 配置文件关于核心配置选项七. 服务器端八. 客户端九. 数据结构数据操作string类型键命令hash类型list类型set类型zset 类型十. 与python的交互StrictRedis对象方法在Django使用redis十一. 搭建主从配置(备份) 一. 关于NoSql(not only sql) 特点: ● 不支持SQ
达梦数据库存储加密
键盘上的艺术
04-18 4172
为了防止用户直接通过数据文件获取用户信息,DM数据库提供了多种存储加密方法,对数据进行加密,以达到使明文存储为密文的目的。 下文就加密方式、加密算法做个介绍。 1透明加密 在建表时对应加密列使用透明加密模式(AUTO),密钥生成、密钥管理和加解密过程由数据库管理系统自动完成,用户不可见,即用户本身是感受不到数据是经过了加密处理的。经加密存储文件该列值变为密文。 透明加密操作: 创建用户USER1...
oracle 数据库口令,oracle的口令资料
weixin_35676444的博客
04-06 1624
oracle的口令文件Oracle口令文件存放着系统的特权用户(sysdba, sysoper)用户的用户名及口令,允许用户通过口令文件验证,在数据库未启动之前登陆从而启动数据库。如果没有口令文件,在数据库未启动之前就只能通过操作系统认证.口令文件存放路径一般为:WINDOWS下:%ORACLE_HOME%\DATABASE\PWD.oraUNIX/LINUX 下:$ORACLE_HOME/d...
2020大学生网络知识大赛总决赛个人12——18急救包(最后还是肝完了,累~)
热门推荐
weixin_45551695的博客
07-20 1万+
1.强制性标准是由法律规定必须遵照执行的标准,强制性国家标准的代号为() A.GB;B.GB/T;C.JB;D.JB/T 正确答案是:A 2.计算机越来越普遍,而操作系统用于管理和控制计算机的硬件和软件资源,以下哪个选项不属于LINUX操作系统的特点? A.LINUX不支持多任务;B.LINUX支持多用户会话;C.LINUX可以提供分层文件系统;D.LINUX可以提供广泛的网络功能,支持大多数互联网通信协议和服务 正确答案是:A 3.在Windows系统,用户登录密码的散列一般保存在() 文件 A.US
口令
zhinen丶的博客
08-30 2451
1.简介 口令是最常用的认证形式口令是由字母、数字、特殊字符构成的字符串,只有被认证者知道。 2.明文口令 2.1 工作原理 这是最简单的基于口令认证机制。通常,系统每个用户指定一个用户名和初始口令。用户定期改变口令,以保证安全性。口令以明文形式在服务器存放,与用户名一起放在用户数据库,这个认证机制工作如下: 第一步:提示用户输入用户名和口令 认证时,应用程序向用户发送一个屏幕,提示用户输入用户名和口令。 第二步:用户输入用户名和口令 用户输入用户名和口令,并按OK之类的按钮,使用户名和口令以明文的
密码安全存储数据库的最佳实践,这样做才能确保您的密码安全
资料免费分享,点击名片
10-16 400
其实还有一种防破解的方式,就是采用加密算法。比如采用对称加密 AES,这样只要密钥不泄露,攻击者拖库拿到密码也完全破解不了!但是反过来想,假设密钥被泄漏了,那就是白给,比破解上述的hash(密码+盐)更轻松,连试试都不需要。所以加密存储的话就得看你的密钥保不保得住了。大致方案就这么几种。动态盐其实已经 OK 了,不过算法尽量别用 md5,可以用 sha1、sha256 这些,因为 md5 其实已经被破解了。
数据库里账号的密码,怎样存放更加安全?
公众号:Java后端
04-28 1728
点击上方Java后端,选择设为星标优质文章,及时送达作者:小蒋不素小蒋www.cnblogs.com/xjnotxj/p/12716981.html最早在大学的时候,只知道用 MD5...
如何安全存储用户密码/数据库安全存储密码的方式
稻草人的格子衫
03-07 1万+
总的来讲,目前公认比较安全的存储密码方式是PBKDF2, BCrypt 或 SCrypt 算法产生的密码。历史上密码加密存储经历了如下几个阶段:1. 单向hash(MD5) 做单向的hash加密,以MD5和sha算法为代表,这类做法比明文直接存储看起来要安全,但是如果在db被攻破的时候,以目前计算机的算力加之黑客的各种技术手段,其实跟明文是差别不大的,我们知道密码学里面破解密码最笨的一种方法...
数据库账号密码加密详解及实例
01-21
数据库经常有对数据库账号密码的加密,但是碰到一个问题,在使用UserService对密码进行加密的时候,spring security 也是需要进行同步配置的,因为spring security 验证的加密方式是单独配置的。如下: ...
深入理解Android M 锁屏密码存储方式
01-05
在 Android M 之前,锁屏密码存储格式很简单,其使用了 64 位随机数作为 salt 值,此 salt 值被存储在 SQLite 数据库 /data/system/locksettings.db 密码存储的时候,会将输入的密码加上此随机数组成新的...
PasswordManager:用于生成密码并将其存储在加密数据库的实用程序
07-04
生成密码,使用主密码对其进行加密并将其存储在 sqlite 数据库。 稍后输入主密码,输入网站并获取用户名和密码数据库可能只包含一个具有以下字段的表: 用户名 - 加密 实体 - 可能是哈希 sha512 或同样强大...
scrapy数据存储在mysql数据库的两种方式(同步和异步)
01-20
self.connect = pymysql.connect(host='XXX', user='root', passwd='XXX', db='scrapy_test') # 后面三个依次是数据库连接名、数据库密码数据库名称 # get cursor self.cursor = self.conne
基于PHP主机域名管理器的毕业设计,使用MySQL数据库存储数据,采用PDO方式进行数据库访问 Bootstrap框架DNS管理
04-13
系统使用MySQL数据库存储数据,采用PDO方式进行数据库访问。系统的实现过程主要包括以下几个方面: - 界面设计:采用Bootstrap框架进行界面设计,使界面简洁明了,易于操作; - 数据库设计:设计数据库结构,建立...
报表控件Stimulsoft在JavaScript报告工具的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 806
在本文,我们为JS报告工具的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 453
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
【课堂练习】
JacksonLeo的博客
04-29 463
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
什么是存储过程?存储过程的功能是什么?
05-10
此外,存储过程还可以通过访问控制和密码保护等方式提高数据库的安全性。 2. 简化复杂的操作:存储过程可以将复杂的操作封装在一个单元,从而简化了数据库操作的复杂度,同时也减少了出错的可能性。 3. 提供可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值