密码散列[翻译]

最新推荐文章于 2023-03-23 21:09:45 发布
最新推荐文章于 2023-03-23 21:09:45 发布
阅读量191 收藏
点赞数
文章标签: 数据库 php 人工智能

密码散列

作者:James McGlinn

翻译:mikespook

来源:http://phpsec.org/

在本文中我将论述一个初学者经常理解不好的问题——密码散列。最近我已经被邀请参观了许多有着同样安全隐患的web项目,这些项目将密码直接存储于数据库中。密码散列是一种将密码存储于数据库之前,对其进行加密的方法。这样当有人意外获得了你的数据库的时候也不会带来更大的损失。散列已经不是什么新技术了。具我所知,它已经在Unix系统的密码上使用了很久。并且极有可能在更早以前就被使用在其他系统上。本文中,我将解释什么是散列,为什么你应该使用它代替真实的密码存储在你的系统中,并且给你一些例子来说明如何在PHPMySQL中使用密码散列。

前言

当你阅读本文的时候你会看到我建议使用的散列算法叫做Secure Hashing Algorithm 1SHA-1)。当我写这篇文章的时候,一个研究团队——王小云、尹艺群和余洪波(译注:音译)已经证明了SHA-1比一直以来认为的要更加脆弱。这就意味着在如数字签名这样的用途上建议使用如SHA-256SHA-512这些更加强大的算法。而在一般的密码散列中,SHA-1依然可以为大多数应用提供比直接存储密码更高的安全级别。你应该知道这个事实,并且开始思考在保证易用性的同时,在你的代码中使用更加强大的算法。

更多信息请看Bruce Schneier发布在这里的分析:

http://www.schneier.com/blog/archives/2005/02/cryptanalysis_o.html

什么是散列?

散列(也被称作散列编码、摘要、信息摘要)可以认为是从数据中采集部分数据作为起指纹一样作用的摘要。你可以很容易的通过单向数学算法从字符串中生成固定长度的散列值。这意味着不可能(有效的)从散列中还原原始的字符串。同时也意味着不同的字符串生成相同的散列值,也就是“散列碰撞”,的情况非常微小。这就使得在你的应用中生成散列用来存储密码理论上非常完美。为什么?因为当一个攻击者入侵内到你的一部分系统并且获得了密码散列值的时候,他们无法仅仅依靠散列值来得到你真实的密码。

那么我如何识别用户?

我们已经确信从散列值中还原原始的密码几乎是不可能的,那么我们的应用如何判断一个用户输入的是正确的密码还是错误的?非常简单——生成一个用户输入的密码的散列值,并且将这个“指纹”同系统中用户信息存储的散列值进行比较,你就能知道密码是否相同了。让我们来看一个例子:

用户注册与密码验证

在注册过程中我们的新用户将提供他们期望使用的密码(当然是已经通过了验证并且满足安全需要的)。使用像下面这样的代码,我们将存储用户名和密码散列值到数据库中:

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

passwordhashing1.GIF

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

图解1 用户输入他们的帐户信息

 

 

 

 

下一次用户登陆时,我们使用像下面这样的代码来检查他们的帐号:

passwordhashing2.GIF

图解2再次登陆

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
散列的类型
 
 
有很多的散列算法可以使用,一般常用的是MD5SHA-1。在一些旧的系统中(包括很多Linux的变体)使用标准数据加密(DES)散列。由于长度只有56位,这种算法已经不再被认为是一种足够强壮的散列并且应该避免使用。
 
 
 
 
例子
 
 
 
 
PHP中你可以使用函数md5sha1生成散列值。md5返回一个128位的散列值(3216进制字符),而sha1返回160位的散列值(4016进制字符)。例如:
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
这段代码将输出下面的内容:
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
你还可以使用MySQL的内置函数password()md5或者sha1生成散列值。password() 函数使用在MySQL自身的用户验证系统中。在MySQL4.1版本以前它返回一个16字节的字符串,4.1以及之后的版本它返回一个41字节的字符串(基于SHA-1两次散列)。MySQL版本3.23.2加入了md5()函数,之后的4.0.2版本又加入了sha1()函数。
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
注意:不建议在你自己的应用中使用MySQLpassword()函数——这个函数的算法已经改变了许多次,而且在4.1之前的版本中它相当的脆弱。
 
 
 
 
你可以使用MySQL来计算你的散列值而不是PHP。这个存储我们的用户从表单中填写的注册信息的例子将变成这样:
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
(未完待续...) 


                

        

        




    

  


            

                    
            

    

      

        

            

              
                
                  weixin_33859231
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
C# 散列、加密和解密的例子

				
			

			

				

					03-07
				

			

		

		

			
				
数据库存储图片和加密解密散列的例子

			
		

	



                

            
              



	

		

			

				
					
密码散列

				
			

			

				

					Y673582465的专栏
				

				

					06-01
					
					432
					
				

			

		

		

			
				
Qt给出了一些常用加密算法,本文以Md5为例。main.cpp#include <QCoreApplication>#include <QCryptographicHash>
#include <QDebug>void encrypt()
{
    QByteArray byte_array;
    byte_array.append("password");
    QByteArray ha

			
		

	



              


  
              

                


	

		

			

				
					
密码学之散列

				
			

			

				

					水清_木秀的博客
				

				

					09-12
					
					555
					
				

			

		

		

			
				
【哈希(散列函数)】MD5 
SHA1 
SHA256(512)【对称加密算法】DES 
3DES 
AES(高级密码标准,美国国家安全局使用的加密算法)Ps:苹果内部的钥匙串访问用的就算AES。【非对称加密算法 】RSA散列特点:1、数据不可反算(不可逆运算)。 
2、算法公开。 
3、对相同的数据加密,得到的结果是一样的。 
4、对不同的数据加密得到的结果是定长。  (MD5 -> 32个字符。

			
		

	





	

		

			

				
					
[No0000132]正确使用密码加盐散列[译]

				
			

			

				

					weixin_30413739的博客
				

				

					04-23
					
					420
					
				

			

		

		

			
				
如果你是一个 web 开发工程师,可能你已经建立了一个用户账户系统。一个用户账户系统最重要的部分是如何保护密码。用户账户数据库经常被黑,如果你的网站曾经被攻击过,你绝对必须做点什么来保护你的用户的密码。最好的用来保护密码的方式是采用加盐密码散列 (salted password hasing)。 本文将解释为什么要这样做。

互联网上充斥着大量的误导信息,有许许多多的关于如何正确做密码散列的矛...

			
		

	



		

			
		



	

		

			

				
					
使用bcrypt模块对用户密码进行散列加密(node教程)

				
			

			

				

					jojodeblog的博客
				

				

					11-28
					
					404
					
				

			

		

		

			
				
为啥选择Bcrypt
Bcrypt 有两个特点


每一次 HASH 出来的值不一样


计算非常缓慢
因此使用 Bcrypt 进行加密后,攻击者想要使用算出 M2 成本变得不可接受。但代价是应用自身也会性能受到影响,不过登录行为并不是随在发生,因此能够忍受。对于攻击者来说,需要不断计算,让攻击变得不太可能。


1.安装
npm i bcrypt

2.使用,初始化一个node服务器,开启mongodb,项目文件为server
1.创建models/AdminUser.js文件,使用bcrypt模块
	

			
		

	





	

		

			

				
					
散列(hash)算法——Java表示

				
			

			

				

					Songcz的博客
				

				

					06-12
					
					3419
					
				

			

		

		

			
				
Hash,一般翻译散列、杂凑,或音译为哈希,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。

百度百科给出的散列算法的解释如上,个人理解散列算法就是给个输入通过散列算法后输出得道固定长度的输出。
输入—>散列算法—>输出(固定长度)
第一个接触的散列算法应该是MD5吧…学JavaWeb的候做密码加密。虽然现在已经不推荐使用...

			
		

	





	

		

			

				
					
密码学常用英文单词翻译

				
			

			

				

					qq_44775134的博客
				

				

					11-20
					
					5620
					
				

			

		

		

			
				
algebraic:代数学的
number fields:数域,环的一种,如有理数域Q,实数域R,复数域C



			
		

	





	

		

			

				
					
第1讲 几种密码技术的简要介绍——《图解密码技术》

				
			

			

				

					
				

				

					11-14
					
					2888
					
				

			

		

		

			
				
QQ密码密码学中的密码是一回事吗?
通过小故事探寻加密、解密与破译过程。
了解几种常见的密码技术
你知道什么是隐写术吗?

			
		

	





	

		

			

				
					
应用密码学研究生课程A Graduate Course in Applied Cryptography

				
			

			

				

					10-28
				

			

		

		

			
				
本书在密码学的各个主要领域都有涉及,其中不仅包括基础加密算法和协议,也包括了密码学原理如加密、散列、签名、零知识证明等。作者特别强调了安全性和实用性的结合,强调了在真实世界应用密码学原理必须考虑的...

			
		

	





	

		

			

				
					
【RFC6655 用于传输层安全 (TLS) 的 AES-CCM 密码套件】(翻译

				
			

			

				

					PiPiQ_Blog的博客
				

				

					06-20
					
					1418
					
				

			

		

		

			
				
原文rfc6655 (ietf.org)


			
		

	





	

		

			

				
					
散列字典攻击破解windows口令

				
			

			

				

					12-23
				

			

		

		

			
				
利用散列字典攻击来破解windows的口令,内附简要说明和所需要的工具,社交工程用的好的话可以破解大多数口令

			
		

	





	

		

			

				
					
哈希加密

				
			

			

				

					nwj_03的博客
				

				

					08-09
					
					339
					
				

			

		

		

			
				
MD5加密方法示例如下:
from hashlib import md5
key = input('请输入要翻译的单词:')
# 加密三步骤
# 1.创建加密对象
pwdobj = md5()
# 2.进行加密(参数必须为bytes数据类型)
pwdobj.update(key.encode('utf-8'))
# 3.获取十六进制加密结果
sign = pwdobj.hexdigest()
pr...

			
		

	





	

		

			

				
					
密码加盐salt

				
			

			

				

					jlcheerful的博客
				

				

					01-13
					
					788
					
				

			

		

		

			
				
笔记

			
		

	





	

		

			

				
					
密码如何“加盐加密”处理?程序员一定要掌握的知识

				
			

			

				

					CYK_byte的博客
				

				

					03-22
					
					7702
					
				

			

		

		

			
				
为什么要使用加盐的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加盐加密方式,每次生成的密码都是不一样的~接下来我会讲两种加盐加密方式(),那么就一起来看一下使用加盐的方式进行加密和解密吧~

			
		

	





	

		

			

				
					
哈希(Hash)与加密(Encrypt)

					
最新发布

				
			

			

				

					Blog of Leviash
				

				

					03-23
					
					3444
					
				

			

		

		

			
				
最有效的方法就是“加盐”,即在密码的特定位置插入特定的字符串,这个特定字符串就是“盐(Salt)”,加盐后的密码经过哈希加密得到的哈希串与加盐前的哈希串完全不同,黑客用彩虹表得到的密码根本就不是真正的密码。对于单机来说,暴力枚举法的间成本很高(以14位字母和数字的组合密码为例,共有1.24×10^25种可能,即使电脑每秒钟能进行10亿次运算,也需要4亿年才能破解),字典法的空间成本很高(仍以14位字母和数字的组合密码为例,生成的密码32位哈希串的对照表将占用5.7×10^14 TB的存储空间)。

			
		

	





	

		

			

				
					
密码加盐(salt)

				
			

			

				

					weixin_73882343的博客
				

				

					01-13
					
					785
					
				

			

		

		

			
				
此路不通就另择他法,比如,使用彩虹表进行反向推出你的密码,彩虹表中是一些常用的固定长度的纯文本的哈希值,当这张表越大,破解密码的机率就越大。盐(Salt)就是一个随机生成的字符串,每次修改密码或者操作,都会生成新的随机字符串,将原始密码进行哈希算法之后,进行加盐,就是把随机字符串混入到密码哈希值中,再将这个值再次进行哈希算法计算,这样生成的密文就更安全了。密码加盐主要是针对用户的登录密码而言的,原始密码经过MD5(一种Hash算法)加密后,一些固定长度的简单纯文本密码的密文也会被破解出来。

			
		

	





	

		

			

				
					
密码加盐(盐值salt)

				
			

			

				

					weixin_66107760的博客
				

				

					01-03
					
					2204
					
				

			

		

		

			
				
密码加盐(盐值salt)

			
		

	





	

		

			

				
					
什么是密码加盐

					
热门推荐

				
			

			

				

					崔二旦
				

				

					03-23
					
					1万+
					
				

			

		

		

			
				
Apache Shiro 学习记录

			
		

	





	

		

			

				
					
详解对密码执行散列和 salt 运算方法

				
			

			

				

					二十四画生的专栏
				

				

					03-28
					
					1701
					
				

			

		

		

			
				
  大家对密码执行散列和Salt运算一定不陌生。两个Visual Studio企业版示例都是用的这个方法来加密这个方法的。结合示例代码,我总结了一个包含对密码进行加密,比较等静态方法的类。  使用说明:先用HashAndSalt方法对密码进行加密,然后存储数据库中。 在用户登录用ComparePasswords方法在对用户输入的密码和用户注册存储数据库中的密码进行比较,判断用户输入的密码

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值