php md5还原原来,在PHP中更新旧的存储的md5密码以提高安全性

最新推荐文章于 2023-07-02 17:31:44 发布
最新推荐文章于 2023-07-02 17:31:44 发布
阅读量291 收藏
点赞数
文章标签: php md5还原原来

好的,我们在这里讨论几点

>你在$salt中所拥有的不是盐.这是确定性的(意味着根本就没有随机性).如果您想要盐,请使用mcrypt_create_iv($size, MCRYPT_DEV_URANDOM)或其他一些实际随机熵源.关键是它应该既独特又随意.请注意,它不需要加密安全随机…在绝对最差的情况下,我会做这样的事情:

function getRandomBytes($length) {

$bytes = '';

for ($i = 0; $i < $length; $i++) {

$bytes .= chr(mt_rand(0, 255));

}

return $bytes;

}

>正如@ Anony-Mousse指出的那样,从不将一个哈希函数的输出提供给另一个哈希函数而不将原始数据重新附加到它.相反,使用适当的迭代算法,如PBKDF2,PHPASS或CRYPT_BLOWFISH($2a $).

我的建议是使用带有河豚的crypt,因为它是目前PHP最好的:

function createBlowfishHash($password) {

$salt = to64(getRandomBytes(16));

$salt = '$2a$10$' . $salt;

$result = crypt($password, $salt);

}

然后使用如下方法验证:

function verifyBlowfishHash($password, $hash) {

return $hash == crypt($password, $hash);

}

(注意,to64是定义here的好方法).你也可以使用str_replace(”,’.’,base64_encode($salt)); …

我还建议你阅读以下两点:

编辑:回答迁移问题

好的,所以我意识到我的答案没有解决原始问题的迁移方面.所以这就是我如何解决它.

首先,构建一个临时函数,从原始的md5哈希创建一个新的河豚哈希,带有随机盐和前缀,以便我们以后可以检测到:

function migrateMD5Password($md5Hash) {

$salt = to64(getRandomBytes(16));

$salt = '$2a$10$' . $salt;

$hash = crypt($md5Hash, $salt);

return '$md5' . $hash;

}

现在,通过此函数运行所有现有的md5哈希,并将结果保存在数据库中.我们将自己的前缀放入,以便我们可以检测原始密码并添加额外的md5步骤.所以现在我们都迁移了.

接下来,创建另一个函数来验证密码,如果需要,使用新的哈希更新数据库:

function checkAndMigrateHash($password, $hash) {

if (substr($hash, 0, 4) == '$md5') {

// Migrate!

$hash = substr($hash, 4);

if (!verifyBlowfishHash(md5($password), $hash) {

return false;

}

// valid hash, so let's generate a new one

$newHash = createBlowfishHash($password);

saveUpdatedPasswordHash($newHash);

return true;

} else {

return verifyBlowfishHash($password, $hash);

}

}

这是我建议的原因有几点:

>它立即从数据库中获取md5()哈希值.

>它最终(每个用户的下一次登录)将哈希更新为更好的替代方案(一个很好理解的方法).

>在代码中很容易理解.

回答评论:

If there is no concern about interactions between multiple uses

of the same key (or a prefix of that key) with the password-

based encryption and authentication techniques supported for a

given password, then the salt may be generated at random and

need not be checked for a particular format by the party

receiving the salt. It should be at least eight octets (64

bits) long.

另外,

Note. If a random number generator or pseudorandom generator is not

available, a deterministic alternative for generating the salt (or

the random part of it) is to apply a password-based key derivation

function to the password and the message M to be processed.

可以使用伪随机生成器,为什么不使用它呢?

>您的解决方案与bcrypt相同吗?我找不到关于bcrypt究竟是什么的文档? – 我假设您已经阅读了bcrypt Wikipedia Article,并尝试更好地解释它.

BCrypt基于Blowfish分组密码.它从密码中获取密钥调度设置算法,并使用它来散列密码.好的原因是,Blowfish的设置算法设计得非常昂贵(这是使河豚如此强大的一部分的一部分).基本流程如下:

> 18个元素阵列(称为P盒,大小为32位)和4个2维阵列(称为S盒,每个具有256个条目,每个8位)用于通过使用预定静态值初始化阵列来设置调度.另外,64位状态被初始化为全0.

>传入的密钥是按顺序XOred所有18个P盒(如果它太短则旋转键).

>然后使用P框加密先前初始化的状态.

>步骤3产生的密文用于替换P1和P2(P阵列的前2个元素).

>重复步骤3,将结果放入P3和P4.这一直持续到P17和P18填充.

这是Blowfish Cipher的关键衍生物. BCrypt修改了这个:

> 64位状态初始化为盐的加密版本.

>相同

>然后使用P框加密先前初始化的(状态x或部分盐).

>相同

>相同

>然后,生成的设置用于加密密码64次.这就是BCrypt所回归的.

重点很简单:这是一个非常昂贵的算法,占用了大量的CPU时间.这是它应该被使用的真正原因.

我希望能够解决问题.

weixin_39695323
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
还原哈希密码工具(hash、md5
墨痕诉清风的博客
02-01 5217
工具:hash-identifier HASH:734998das87d987asd79a7sd87as9 工具:john 如果以前运行过同样的文件命令,需要删除以前的文件(rm -rf/root/.john/*) username:passhash ---------> a.txt(格式) john --format=raw-MD5 a.txt ...
php怎么从md5转回去,php – 如何从MD5转换为任何其他哈希?
weixin_30467625的博客
03-19 232
我刚刚下载了他多年前使用的最好的朋友脚本,所有的密码都是使用MD5哈希,我想改变它.现在我的编码不太好,所以我问你们从哪里开始.我是在数据库还是在脚本转换它?我想从现在开始注册的每个人都有另一个哈希,我想的是SHA-2.所以我猜应该有一些东西在代码md5,我将改为SHA-2?我对吗?如果有人在这里可以告诉我代码MD5哈希是什么样的,我可以在每个文件搜索它,直到找到它为止.另请告诉我如...
“破碎”的md5恢复
think_ycx的专栏
11-11 3422
一个残缺的密码间少了几位,但是我们知道该密码的部分md5值,试恢复该面密码md5值。
php 解析md5(),PHP: md5 - Manual
weixin_39597318的博客
03-19 73
From the documentation on Digest::MD5:md5($data,...)This function will concatenate all arguments, calculate the MD5 digest of this "message", and return it in binary form.md5_hex($data,...)Same as md5...
去除CakePHP默认显示的标题CakePHP Rapid Development及图标
【昆山人在上海】
10-21 879
使用cakephp框架时,在生成的html页面里,总是有cakephp的标志(上面有大大的标题CakePHP Rapid Development,下面还有一个cakephp的图标),虽然是cakephp的东西,但放到自己的项目看起来总是不顺眼。去除的办法是:修改cake/libs/view/templates/layouts/default.thtml,这个是视图文件的通用模板框架(带头
php结合md5的加密解密算法实例
10-21
MD5不能防止碰撞攻击,也就是说,不同的数据可能会产生相同的MD5散列值,这在密码学上称为“碰撞”。此外,MD5的算法速度相对较快,因此对一些需要大量数据处理的场景,如密码哈希存储,推荐使用安全的算法,比如...
PHP散列密码安全性分析
10-16
虽然`password_hash`和`password_verify`组合提供了高安全性密码处理,但它们也可能带来性能上的挑战,尤其是当需要从外部存储(如Redis)获取盐值时。这可能会导致额外的查询操作,牺牲一定的性能来换取高的...
php 的加密函数 md5,crypt,base64_encode 等使用介绍
12-19
然而,对于现代密码学需求,MD5安全性已经不足,推荐使用安全的哈希函数如SHA-256,或使用加盐和迭代的强密码存储方法。对于加密需求,PHP还提供了其他加密扩展,如OpenSSL和MCrypt,它们支持高级别的加密算法...
vb MD5加密在asp.net的实现
09-05
由于哈希函数的特性,即使是微小的输入变化也会导致显著不同的输出,这使得MD5密码用于防止数据篡改。然而,需要注意的是,MD5的碰撞攻击(即找到两个不同输入产生相同哈希值的攻击)已经变得相对容易,因此在...
php实现MD5加密16位(不要默认的32位)
12-18
然而,需要注意的是,MD5的碰撞问题(两个不同的输入可能会产生相同的散列值)意味着它不适合用于安全性要求极高的场景,如密码的单向散列函数。对于这些情况,安全的算法如SHA-256或bcrypt应被优先考虑。 在...
某生鲜超市加密参数paramsMD5还原
一起学习哈
05-13 482
APP相关信息 版本:1.5.4 包名:Y29tLmZlaW5pdS5hY3RvZ28= 抓包分析 加密参数 data {"addrId":"","apiVersion":"ao1.45","appVersion":"1.5.4","body":{"cp_seq":"CC1000000013","gcSeq":"CC1000000013","goodsType":0,"level":2,"one_page_size":10,"page_start_end":"start","parentSiseq":""
md5的生成与还原
qq_41699991的博客
10-20 5045
延续之前的解密器,今天就用它来还原MD5 (操作环境:python3) 操作环境 win10,python3 代码展示 import string from hashlib import md5 #生成MD5 chars=string.digits+string.ascii_uppercase+string.ascii_lowercase #数字、字母的大小写组成一个字符串chars messa...
代码还原小试牛刀(一):魔改的MD5
fenfei331的博客
03-06 1632
首先要习惯看Arm汇编,一步一步单步调试,然后熟悉寄存器的变化。特别对一些关键数字要敏感。要掌握Unidbg的基础调试命令。常见的加密算法要熟悉一下,在开发环境里多调试几遍,熟悉它的算法流程。1:ffshow多方分别,是非之窦易开;一味圆融,人我之见不立。
php md5 字节数组_PHP: md5 - Manual
weixin_35051623的博客
03-08 309
From the documentation on Digest::MD5:md5($data,...)This function will concatenate all arguments, calculate the MD5 digest of this "message", and return it in binary form.md5_hex($data,...)Same as md5...
对接php md5输出byte数组问题
lqlscn的博客
08-07 1198
今天由于业务需求和php同学对接了一下 然后 javaaes 加密 global_secretKey=new SecretKeySpec(MD5.getMD5Byte(Key), KEY_ALGORITHM); global_cipher = Cipher.getInstance(CIPHER_ALGORITHM_ECB); global_cipher.init(Cipher....
有道翻译逆向,有道翻译js逆向,MD5加密,md5加密,python还原jsMD5加密,逆向思路
最新发布
ohh11的博客
07-02 1093
本例子仅供参考学习,主要学习的是有道翻译的MD5加密的逆向逻辑。1.抓包随便输入两个单词进行抓包,发现加密发生在webtranslate这个包观察两个包的请求头,发现有三个地方是变化的,分别是i,sign,mysticTimei:是单词,这个不用逆向sign:签名,这个需要逆向mysticTime:时间戳,需要逆向。
php结合md5的加密解密,php结合md5实现的加密解密方法,php结合md5加密解密_PHP教程...
weixin_32349699的博客
03-09 928
php结合md5实现的加密解密方法,php结合md5加密解密本文实例讲述了php结合md5实现的加密解密方法。分享给大家供大家参考,具体如下:最近在整理代码发现了一个不错的东西,结合md5的加解密算法。网上关于php结合md5的加密,解密算法比较少的,其实php手册里面就有,改一改就行了。在此贴一下,用这算法要加载一个php模块mcrypt,不然用不了。//加密function string2se...
被魔改 md5 加密坑了?某网站魔改 md5 加密逆向还原 (多种语言还原)
静觅
03-05 1337
这是「进击的Coder」的第 806篇技术分享作者:TheWeiJun来源:逆向与爬虫的故事“ 阅读本文大概需要 13 分钟。 ”大家好,我是 TheWeiJun;最近由于工作太忙好久没有新了。静下心来,突然很想念各位读者朋友,所以晚上抽空新一篇。今天分享一篇关于魔改 md5 实现的加密算法逆向分析,本文将用多种语言还原加密算法,解决不同语言还原加密算法的难题。希望各位朋友能够多多提出宝贵意...
php 摘要算法,MD5摘要算法 - lvk618的个人空间 - OSCHINA - 文开源技术交流社区
weixin_42317626的博客
03-22 375
package com.lvkun.com;import java.io.UnsupportedEncodingException;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;/*** @author*/public class MD5Test {// MD5 单向加密public...
Laravel 5文翻译文档:PHP框架详解与离线版
本资源是关于Laravel 5 PHP框架的文翻译文档PDF版,提供了一个全面且深入的指南,涵盖了从入门到高级特性的各个部分。以下是文档的主要知识点概览: 1. **简介**:这部分为读者介绍了Laravel框架的基本概念,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值