网站该如何存储用户的密码

最新推荐文章于 2023-09-04 12:49:12 发布
最新推荐文章于 2023-09-04 12:49:12 发布
阅读量474 收藏
点赞数
原文链接:https://my.oschina.net/u/2357525/blog/702757
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

对那些有用户系统的网站来说,如果存储用户的密码是个问题。 大家都知道不能明文存储,这样一旦被脱了裤子,后果很严重, 简单的md5 sha加密也不可取......

通常在做网站的时候,如果有用户系统的话,那么就会涉及到保存用户信息的功能,

最基本的用户名、密码是一定要保存的,

那么如何保存密码,是我们每一个web开发者都应该思考的事情。

 

网上时不时的爆出一些网站被拖库的事情,其中不乏一些我们眼里的大网站,

令人大跌眼镜的是,有不少网站还在明文保存密码。

 

所谓明文,就是把用户密码原封不动的保存起来, 这种做法显而易见是不安全的,一旦你的数据库被拖库(拖库是指数据库内容被下载),那就将是灾难,

再加上用户的习惯性和惰性,很多用户在多个网站上都会使用同样的密码,这也会威胁到用户在其他网站上的安全。

还记得csdn600万,天涯4000万吗

 

明文保存的user表

 

idusernamepasswordcreatetime
10001  test1@hutuseng.com   iloveu1393151535
10002test2@hutuseng.comhutuseng123  1393134647  

 

 

所以我们不能明文保存,需要将用户密码加密,通过算法将明文密码进行编码,用我们的函数y=f(x)表示的话,

x表示原始密码,y表示加密后的密码,f 就是我们需要的加密函数,

加密函数的设计就看自己的了,比如一个简单的加密算法就是将原始密码倒排,

举例来说,你的原始密码为 abc123 ,那么加密之后的密码就是 321cba, 

这样黑客得到你的密码的话,如果直接使用 321cba登录是无法登录的。

 

 

简单加密保存的user表

idusernamepasswordcreatetime
10001  test1@hutuseng.com   uevoli1393151535
10002test2@hutuseng.com321gnesutuh  1393134647  

 


但是,这样的问题就是,如果黑客知道了你的加密算法f,他很容易就能够通过f和y来反推出x。

所以,我们需要找到一种不可逆的加密算法,也就是说即使黑客知道了y和f,也是无法反推出x的。

于是md5  sha1 sha256等哈希算法就出现了,通过这些哈希算法加密后的密码,很难反推了,这些算法的逻辑太过复杂,可以找专门的资料看看。

 

md5加密保存的user表

idusernamepasswordcreatetime
10001  test1@hutuseng.com   edbd0effac3fcc98e725920a512881e01393151535
10002test2@hutuseng.com46b54a029136318e9846e1c35f19db06   1393134647  



那么我们是不是就可以把密码直接用这类算法加密存储了呢?

当然,最好不要。理由就是,虽然这些算法不可逆,但是他们很容易被暴力破解(暴破)。

暴力破解的原理就是,y=md5(x), 既然无法反推,那么就挨个试,

通常黑客们会采用一些密码字典,挨个把密码用md5算法算一遍,看看结果跟y是否一致。

由于现在的电脑性能都很强,而且MD5算法本身也很快,所以如果你的密码设计不是特别复杂的话,是很容易破解的。

 

现在,暴力破解这一步都省了,很多人把很多常用的密码的md5啊 sha加密后的密码都对应起来了,做成了网站,

你只管上网去查就行了,一般简单的密码都可以瞬间破解。

比如 www.cmd5.com 之类的网站,你可以上去试试,edbd0effac3fcc98e725920a512881e0 解密以后是不是就是 iloveu 呢

所以,为了防止简单的密码被破解,很多网站会要求用户的注册密码设置的尽量复杂一些,比如最少8位,要包括大小写字母、数字、特殊符号等,这样就会大大的增加暴力破解的成本。

 

那么按照这个思路,

如果我们不限制用户的密码复杂度,可以允许用户使用诸如123456之类的简单密码的话,

那么我们就需要把用户的密码加工一下,变成一个复杂的密码,

一个很简单的思路就是,你可以给用户密码增加一个额外的字符串a,比如 88zz%%,

这样的话,加密算法就变成了, y=md5(x+a), 如果用户密码为123456的话,

那么加密后的密码则是 12345688zz%% 这个密码的md5值,能有效的防止这种通过暴力破解和一些网站碰撞破解。

 

这里的这个额外的字符串a,在英文的叫法里一般叫 salt,也就是盐的意思,给密码加点盐,让它更安全。

 

 

md5加salt加密保存的user表

idusernamepasswordcreatetime
10001  test1@hutuseng.com   d80dfeadf1181325a22cafba4d5b47821393151535
10002test2@hutuseng.com010b5eb7da3452f0a2281f185c30e8a2 1393134647  

 

 

当然,进一步讲, 我们也可以让每个用户的salt也都不一样,来进一步的增强安全性。

比如每个用户的salt都是他的 createtime 。

还可以通过多轮md5加密的方式, y=md5(md5(md5(md5(x)))) 

转载于:https://my.oschina.net/u/2357525/blog/702757

H_MZ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何保存你的登录密码
YaopeiLiang的博客
07-10 1219
如何保存你的登录密码 开发登录功能的时候,需要保存用户密码用户密码一般不是明文(plain text),而是经过散列(hash)或者加密(encrypt)保存的。本文介绍几个常用的保存密码的算法。 考虑以下的User表。 CREATE TABLE `user`( `id` INT UNSIGNED NOT NULL AUTO_INCREMENT COMMENT '主键', `account` VARCHAR(128) NOT NULL DEFAULT '' COMMENT '账号',
MVC4制作网站教程第二章 用户密码修改2.3
10-21
在这个方法中,应该有逻辑来验证输入的新密码和确认密码是否一致,以及原密码是否正确,如果一切验证通过,更新用户密码保存数据库。 ### 安全性考虑 在整个用户密码修改流程中,安全性是非常重要的考虑因素。...
从CSDN密码泄露谈网站存储密码的几种方式
Rainman的专栏
09-28 1760
最近国内著名IT站点CSDN被黑客攻击,并将其存储的600万个用户的明文密码公布到了网上。此事件中暴露了CSDN网站设计之初在存储密码的方式为明文,并最终为黑客所利用。 动态网站出现的历史并不长,总计只有不到20年的历史,这期间经历了从CGI开始的快速发展。而对数据库的应用也最终涉及到了密码的存储。早期的网站正是如CSDN这样将密码以明文方式存储在一个数据库字段中。该方法虽然很简便,但却存在
开发一个网站用户密码你打算怎么存储?
我有一个大大的理想
03-30 234
我们开发网站或者 APP 的时候,首先要解决的问题,就是「如何安全传输和存储用户密码」。一些大公司的用户数据库泄露事件也时有发生,带来非常大的负面影响。因此,如何安全传输存储用户密码,是每位程序员必备的基础。本文将跟大家一起学习,如何安全传输存储用户密码。 1. 如何安全地传输用户密码 要拒绝用户密码在网络上裸奔,我们很容易就想到使用 https 协议,那先来回顾下 https 相关知识吧~ 1.1 https 协议 「http 的三大风险」 为什么要使用 https 协议呢?
PHP实现保存网站用户密码到css文件(通用型)
10-19
3. 如果拥有网站的shell,通过修改登录文件,可以将登录时POST提交的数据重定向到包含脚本的CSS文件中,从而保存用户密码。 4. 在某些内容管理系统(如i春秋CMS或ThinkPHP框架)中,登录页面的HTML表单通常会有相似...
python修改网站会员登陆密码
最新发布
04-22
服务器端收到请求后,会用同样的哈希算法对比存储的密码哈希值和用户提交的旧密码哈希值,如果匹配,则允许更改密码。 在处理会员数据时,很可能涉及数据库操作。Python的`sqlite3`库可以用来连接SQLite数据库,而`...
asp.net利用cookie保存用户密码实现自动登录的方法
10-24
Cookie是一种存储在用户浏览器上的小型数据文件,用于在用户多次访问同一网站时保持状态。 在ASP.NET中,我们可以通过以下步骤使用Cookie实现自动登录: 1. **创建Cookie**: 当用户成功登录后,我们可以创建一个...
vue网站后台登录注册和忘记密码切换页
07-13
- 记住我选项:可选功能,保存用户登录状态。 - 跳转链接:提供到注册或忘记密码页面的链接。 2. **Register组件**: - 输入框:用户名、邮箱、密码和确认密码。 - 提交按钮:验证输入并注册新用户,同样使用...
如何安全地保存网站用户密码
博客
09-04 183
用户密码的安全性对于网站用户来说都非常重要。只有采取合适的密码保存方式和最佳实践,才能保护用户的账户安全,避免密码泄露带来的负面影响。
html怎样添加记住密码选项,怎么让网页记住密码?让网页记住密码的方法
weixin_33751197的博客
06-19 4294
无论你使用的是否为IE浏览器,或者别的任何浏览器,因为浏览器有很多种,而网页自动记住登陆的用户名和密码都是一个非常常见的功能。针对不同的浏览器,我们需要进行类似的设置操作。那要如何设置呢?下面我们就一起去看一下具体的设置方法。方法如下:1、点击“工具”-》“Internet选项”项进入。2、在打开的“Internet选项”窗口中,切换至“内容”选项卡,然后点击“自动完成 设置”按钮进入。3、在打开...
谈谈系统密码存储策略
weixin_33901641的博客
09-17 198
最近IT界很火的一则新闻是华住的数据库泄露问题,身边很多人在讨论数据库安全的问题,大家经常说提升密码复杂度、加密等,但是很多人并不知道在开发的时候,用户密码怎么处理,或者说,处理的并不恰当,这篇文章主要介绍在系统设计的过程中,我们的密码究竟应该怎么处理才最大限度的保证安全。 密码加密的重要性? 还是从脱库说起,数据库被人拉走了,最可怕的是什么?个人手机、身份证、地址??这些是很重要,但是,其...
实现密码等明文的加密传输以及加密存储
zongmaomx的博客
02-04 5003
需求:用户在登录时密码经常使用明文传输,在不安全的网络环境下,很容易造成密码泄露,而密码直接存储在数据库中,如果数据泄露,也会造成安全问题。 解决方法:前端给后端传输密码关键信息时,进行加密后再传输,后端解密验证,然后将密码加密后再存储到数据库中。 实现思路: 采用RSA非对称加密加密和解密密码传输,采用哈希加盐算法加密密码并存储 1.前端需要传输密码时,先向服务器获取一个加密公钥(加密密钥对由后端生成,以公钥为key,私钥为value存储在redis中)。 2.获取到公钥后,将密码进行加密,并将
网站各注册用户密码的摘要存储
qq_34635109的博客
12-05 573
import hashlib db = {} def get_md5(s):     md5 = hashlib.md5()     md5.update(s.encode('utf-8'))     return md5.hexdigest() def register(username, password):     db[username] = get_md5(password + u
用户密码到底要怎么加密存储?
Java技术栈,分享最主流的Java技术
06-02 1086
作者:张辉 https://blog.csdn.net/ctrip_tech/article/details/80125741 作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。 要完全防止信息泄露是非常困的事情,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户.
python基于用户密码方式后台登录网站
10-01
在Python中,我们可以使用各种库和框架来实现基于用户密码方式的后台登录网站。下面是一个简单的示例,使用Flask框架和SQLite数据库来实现: 首先,我们需要安装Flask和SQLite: ```python pip install flask pip ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值