MD5加密(加盐),为什么要在密码里加点“盐“

最新推荐文章于 2024-06-12 17:30:20 发布
最新推荐文章于 2024-06-12 17:30:20 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: 信息安全&渗透测试 文章标签: MD5 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35770067/article/details/126394728
版权

文章目录

前言介绍

盐(Salt),在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。

第一代密码

早期的软件系统或者互联网应用,数据库中设计用户表的时候,大致是这样的结构:

mysql> desc User;
+———-+————–+——+—–+———+——-+
| Field | Type | Null | Key | Default | Extra |
+———-+————–+——+—–+———+——-+
| UserName | varchar(50) | NO | | | |
| PassWord | varchar(150) | NO | | | |
+———-+————–+——+—–+———+——-+

数据存储形式如下:

mysql> select * from User;
+———-+———-+
| UserName | PassWord |
+———-+———-+
| lichao | 123 |
| akasuna | 456 |
+———-+———-+

主要的关键字段就是这么两个,一个是登陆时的用户名,对应的一个密码,而且那个时候的用户名是明文存储的,如果你登陆时密码是 123,那么数据库里存的就是 123。这种设计思路非常简单,但是缺陷也非常明显,数据库一旦泄露,那么所有用户名和密码都会泄露,后果非常严重。

第二代密码

为了规避第一代密码设计的缺陷,聪明的人在数据库中不在存储明文密码,转而存储加密后的密码,典型的加密算法是 MD5SHA1,其数据表大致是这样设计的:

mysql> desc User;
+———-+————–+——+—–+———+——-+
| Field | Type | Null | Key | Default | Extra |
+———-+————–+——+—–+———+——-+
| UserName | varchar(50) | NO | | | |
| PwdHash | char(32) | NO | | | |
+———-+————–+——+—–+———+——-+

数据存储形式如下:

mysql> select * from User;
+———-+———————————-+
| UserName | PwdHash |
+———-+———————————-+
| lichao | 202cb962ac59075b964b07152d234b70 |
| akasuna | 250cf8b51c773f3f8dc8b4be867a9a02 |
+———-+———————————-+

假如你设置的密码是 123,那么数据库中存储的就是 202cb962ac59075b964b07152d234b70 或 40bd001563085fc35165329ea1ff5c5ecbdbbeef。

当用户登陆的时候,会把用户输入的密码执行 MD5(或者 SHA1)后再和数据库就行对比,判断用户身份是否合法,这种加密算法称为散列

严格地说,这种算法不能算是加密,因为理论上来说,它不能被解密。所以即使数据库丢失了,但是由于数据库里的密码都是密文,根本无法判断用户的原始密码,所以后果也不算太严重。

第三代密码

本来第二代密码设计方法已经很不错了,只要你密码设置得稍微复杂一点,就几乎没有被破解的可能性。但是如果你的密码设置得不够复杂,被破解出来的可能性还是比较大的。

好事者收集常用的密码,然后对他们执行 MD5 或者 SHA1,然后做成一个数据量非常庞大的数据字典,然后对泄露的数据库中的密码就行对比,如果你的原始密码很不幸的被包含在这个数据字典中,那么花不了多长时间就能把你的原始密码匹配出来。这个数据字典很容易收集,CSDN 泄露的那 600w 个密码,就是很好的原始素材。

于是,第三代密码设计方法诞生,用户表中多了一个字段:

mysql> desc User;
+———-+————-+——+—–+———+——-+
| Field | Type | Null | Key | Default | Extra |
+———-+————-+——+—–+———+——-+
| UserName | varchar(50) | NO | | | |
| Salt | char(50) | NO | | | |
| PwdHash | char(32) | NO | | | |
+———-+————-+——+—–+———+——-+

数据存储形式如下:

mysql> select * from User;
+———-+—————————-+———————————-+
| UserName | Salt | PwdHash |
+———-+—————————-+———————————-+
| lichao | 1ck12b13k1jmjxrg1h0129h2lj | 6c22ef52be70e11b6f3bcf0f672c96ce |
| akasuna | 1h029kh2lj11jmjxrg13k1c12b | 7128f587d88d6686974d6ef57c193628 |
+———-+—————————-+———————————-+

Salt 可以是任意字母、数字、或是字母或数字的组合,但必须是随机产生的,每个用户的 Salt 都不一样,用户注册的时候,数据库中存入的不是明文密码,也不是简单的对明文密码进行散列,而是 MD5( 明文密码 + Salt),也就是说:

MD5(123+1ck12b13k1jmjxrg1h0129h2lj’) =6c22ef52be70e11b6f3bcf0f672c96ce’
MD5(456+1h029kh2lj11jmjxrg13k1c12b’) =7128f587d88d6686974d6ef57c193628’

当用户登陆的时候,同样用这种算法就行验证。

由于加了 Salt,即便数据库泄露了,但是由于密码都是加了 Salt 之后的散列,坏人们的数据字典已经无法直接匹配,明文密码被破解出来的概率也大大降低。

是不是加了 Salt 之后就绝对安全了呢?淡然没有!坏人们还是可以他们数据字典中的密码,加上我们泄露数据库中的 Salt,然后散列,然后再匹配。但是由于我们的 Salt 是随机产生的,假如我们的用户数据表中有 30w 条数据,数据字典中有 600w 条数据,坏人们如果想要完全覆盖的坏,他们加上 Salt 后再散列的数据字典数据量就应该是 300000* 6000000 = 1800000000000,一万八千亿啊,干坏事的成本太高了吧。但是如果只是想破解某个用户的密码的话,只需为这 600w 条数据加上 Salt,然后散列匹配。可见 Salt 虽然大大提高了安全系数,但也并非绝对安全。

实际项目中,Salt 不一定要加在最前面或最后面,也可以插在中间嘛,也可以分开插入,也可以倒序,程序设计时可以灵活调整,都可以使破解的难度指数级增长。

如果想要详细了解一下的话可以看下imooc网的课程:PHP加密技术专题

最后附上一段可运行的MD5算法和MD5加盐算法:

public class md5 {
MD5加密算法:

//    public static String getMD5(String str) {
//        try {
//            // 生成一个MD5加密计算摘要
//            MessageDigest md = MessageDigest.getInstance("MD5");
//            // 计算md5函数
//            md.update(str.getBytes());
//            // digest()最后确定返回md5 hash值,返回值为8为字符串。因为md5 hash值是16位的hex值,实际上就是8位的字符
//            // BigInteger函数则将8位的字符串转换成16位hex值,用字符串来表示;得到字符串形式的hash值
//            return new BigInteger(1, md.digest()).toString(16);
//        } catch (Exception e) {
//            System.out.println("MD5加密出现错误");
//        }
//        return str;
//    }

    public static void main(String[] args) {
        String pwd="password";
        //MD5加盐算法:
        System.out.println(getMD5WithSalt(pwd));
    }


    /**
     * MD5加密工具类
     */

        /**
         * 获取MD5字符串
         */
        public static String getMD5(String content) {
            try {
                MessageDigest digest = MessageDigest.getInstance("MD5");
                digest.update(content.getBytes());
                return getHashString(digest);
            } catch (NoSuchAlgorithmException e) {
                e.printStackTrace();
            }
            return null;
        }

        private static final String SALT = "0fdfa5e5a88bebae640a5d88e7c84708";

        /**
         * 获取加盐的MD5字符串
         */
        public static String getMD5WithSalt(String content) {
            return getMD5(getMD5(content) + SALT);
        }

        private static String getHashString(MessageDigest digest) {
            StringBuilder builder = new StringBuilder();
            for (byte b : digest.digest()) {
                builder.append(Integer.toHexString((b >> 4) & 0xf));
                builder.append(Integer.toHexString(b & 0xf));
            }
            return builder.toString();
        }

}
参考文献
  • https://blog.51cto.com/u_12630471/3703736
安替-AnTi
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C#MD5加密--加盐MD5加密C#MD5加密C#MD5加密
03-13
输入需要加密的字符串,有两种加密方式,普通md5加密加盐MD5加密。根据需要生成。
密码学中的“值 Salt”
拈花的专栏
11-26 4760
为什么要在密码加点(Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的时候,大致是这样的结构: mysql> desc User; +----------+-------------.
加密算法:MD5加盐
最新发布
会写Bug的攻城狮
06-12 281
密码存储中使用MD5加盐是一种安全实践,目的是增加密码的安全性。加盐是指在用户输入的密码前面或后面添加一个随机生成的、不可预测的字符串(),然后再对整个字符串进行哈希计算。
MD5加盐源码理解
qq_36325332的博客
04-07 3113
1.shiro中主要的类 简单看一下即可,shiro是一个安全验证框架,相对Spring security使用更为简单。本篇文章使用的的md5加密加盐是基于shiro框架。 复制代码 主要功能:认证,授权,加密,会话管理等 2.MD5中的加盐 所谓加盐:如果直接通过md5进行加密,如果别人知道你的密码散列值,通过查找散列值字典,就可以破译密码。而“加盐”,是当用户注册的时候提供密码,然后由系统密码加盐,然后再散列加密。这个的值是系统随机生成,只有系统知道,这样,即使两个用户注册时使用了.
加密
cyn_653620的博客
04-14 7682
(一)加密 第一次听说加密的时候,总是感觉怪怪的。因为总会联想到咸,联想到密码是咸的。    其实这所说的,简单的说,就是一组安全随机数。它会在特定的时候,加入到密码中(一般来说是加密后的密码)。从而使密码变得更有味道(从单一简单化到复杂化),更安全。 下面我们就通过安全威胁分析分别说说当前两种加盐的形式: 一、数据库泄露 众所周知,用户名和密码是被保存在数据库中。可是一旦数据库发生了...
salt值(值)
weixin_30295091的博客
12-09 2125
SALT值属于随机值。用户注册时,系统用来和用户密码进行组合而生成的随机数值,称作salt值,通称为加盐值。 1、背景:系统通常把用户的密码MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Salt值...
密码加密——加盐算法(两种方式)
m0_60354608的博客
04-12 1万+
密码安全是一件很重要的事情,所以一定要谨慎对待常见的主要是3种方式首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了简单来说,使用MD5就是将一串字符串通过某特定的算法来将其变成另一种形式,这样子就在外观上起到了加密的效果,但是由于背后的算法是固定的,所以每一个字符串都有固定的MD5格式密码破解程序可以是暴力破解:将得到的密码使用MD5转换成哈希,之后将得到的哈希与最初的哈希进行比较,要是匹配就说明已经破解了密码,但是这种方法的时间复杂度很高,会耗时很久。
java实现Md5加盐加密算法
10-26
对接接口时用到的一种常用加密算法,常用于验证签名,使用shiro-all-1.4.1.jar,可自行下载
java生成md5密码加盐
07-10
对于加盐MD5,我们需要在密码之前或之后添加盐,然后进行哈希: ```java public static String getSaltedMD5(String password, String salt) { return getMD5(password + salt); } ``` 在SpringBoot应用中,...
Springboot整合Shiro之加盐MD5加密的方法
08-26
在本文中,我们将介绍如何在 Spring Boot 项目中整合 Shiro 框架,并使用加盐 MD5 加密来实现身份认证。Shiro 是一个功能强大且灵活的安全框架,提供了身份认证、授权、会话管理、缓存等功能。在 Spring Boot 项目中...
JAVA中使用MD5加密实现密码加密
08-30
在 JAVA 中实现密码加密是一个非常重要的安全机制,MD5 加密是其中一种常用的加密方式。本文将详细介绍如何使用 MD5 加密在 JAVA 中实现密码加密。 一、MD5 加密的原理 MD5(Message-Digest Algorithm 5)是一种...
什么是md5
sanmi8276的博客
12-03 3278
简单说就是为了使相同的密码拥有不同的hash值的bai一种手段 就是化,值就是在密码hash过程中添加的额外的随机值。 SALT值属于随机值。用户注册时,系统用来和用户密码进行组合而生成的随机数值,称作salt值,通称为加盐值。 1、背景:系统通常把用户的密码MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Sal
浅谈MD5加密算法中的加盐值(SALT)
闪亮伞的博客
07-01 5866
我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。这的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便
一文带你学会MD5+
热门推荐
LU58542226的博客
10-16 1万+
MD5 + 是一种密码存储的安全机制。MD5,全称为Message Digest Algorithm 5,是一种常用的哈希函数。在密码存储中,通常会使用(salt)来增加密码的安全性。使用MD5 + 密码存储过程如下:1. 随机生成一个值,将其与用户的密码拼接在一起。2. 使用MD5函数对拼接后的字符串进行哈希计算,生成一个固定长度的哈希值。3. 将值和哈希值一起存储在数据库中,以备后续验证使用。在密码验证过程中,使用相同的步骤生成哈希值,并将其与数据库中存储的哈希值进行比对。
加盐加密详解
qq_61925446的博客
10-11 1838
加盐加密就是后端在存储一个密码的时候,为了提高安全性,随机生成一个值(随机值),将值和密码进行有规则的结合,然后将结合过后的数据使用加密算法(一般是md5加密)再次加密,然后将再次加密后的数据和值按着一定规则组合起来存放在数据库加密流程。流程图:普通的加密手段就是只使用md5加密或者不加密。如果发生数据库信息泄露,账户和密码基本上算是直接泄露。因为md5加密密码虽然不能被反推,但是md5加密后的密码都是唯一的,可以通过穷举的方式暴力破解。加盐算法就大大增加了黑客的破解成本。
加盐加密算法
X_H学Java的博客
05-31 2334
本文主要介绍了加盐加密算法
【信息安全】什么是值,他有什么作用?
青春不言败
11-26 8063
原文地址
密码加盐值salt)
weixin_66107760的博客
01-03 2032
密码加盐值salt)
shiro 加密
快乐的小三菊的博客
05-17 927
shiro 加密
md5加密密码加盐 java
09-05
在Java中使用MD5加密密码加盐可以通过以下步骤实现: 1. 导入相关的库和类。首先,需要导入java.security包中的MessageDigest类,该类提供了MD5加密的方法。 2. 创建一个方法来进行MD5加密。可以创建一个名为`encryptPassword`的方法,并传入两个参数:密码值。方法的返回值应该是加密后的密码。 3. 在方法中对密码值进行拼接。可以使用字符串的加法操作符将密码值拼接在一起。 4. 创建一个MessageDigest对象,使用 getInstance("MD5")方法获取该对象。MessageDigest类提供了MD5加密算法的实现。 5. 使用MessageDigest对象对拼接后的字符串进行加密。可以调用`digest()`方法对字符串进行加密,该方法返回一个字节数组。 6. 将加密后的字节数组进行转换。可以使用`DatatypeConverter`类提供的`printHexBinary()`方法将字节数组转换成十六进制字符串。 7. 将转换后的字符串作为加密后的密码返回。 下面是一个示例代码片段: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MD5SaltExample { public static String encryptPassword(String password, String salt) { String saltedPassword = password + salt; try { MessageDigest md = MessageDigest.getInstance("MD5"); byte[] hashedPassword = md.digest(saltedPassword.getBytes()); // Convert byte array to hex string StringBuilder sb = new StringBuilder(); for (byte b : hashedPassword) { sb.append(String.format("%02x", b)); } return sb.toString(); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } return ""; } public static void main(String[] args) { String password = "example"; String salt = "somesalt"; String encryptedPassword = encryptPassword(password, salt); System.out.println("Encrypted password: " + encryptedPassword); } } ``` 在上述代码中,我们首先将密码值拼接在一起,然后使用MessageDigest类提供的`digest()`方法进行加密加密后的字节数组将被转换成十六进制字符串,并以字符串形式返回。在main方法中,我们将输入的密码值传递给`encryptPassword`方法,并打印加密后的密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安替-AnTi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值