密码安全之动态盐

最新推荐文章于 2022-12-20 13:06:06 发布
最新推荐文章于 2022-12-20 13:06:06 发布
阅读量3.8k 收藏 2
点赞数
分类专栏: 密码 安全 文章标签: 密码 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwsq/article/details/24714655
版权
安全 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
1 篇文章 0 订阅
订阅专栏
密码
1 篇文章 0 订阅
订阅专栏

首先,我们看看什么是盐:http://zh.wikipedia.org/zh/%E7%9B%90_%28%E5%AF%86%E7%A0%81%E5%AD%A6%29

通常情况下,当字段经过散列处理(如MD5),会生成一段散列值,而散列后的值一般是无法通过特定算法得到原始字段的。但是某些情况,比如一个大型的彩虹表,通过在表中搜索该MD5值,很有可能在极短的时间内找到该散列值对应的真实字段内容。

加盐后的散列值,可以极大的降低由于用户数据被盗而带来的密码泄漏风险,即使通过彩虹表寻找到了散列后的数值所对应的原始内容,但是由于经过了加盐,插入的字符串扰乱了真正的密码,使得获得真实密码的概率大大降低。

但是很多人没意识到的是静态盐仍然不够安全。因为静态盐要面临两种攻击:

1,基于特定的静态盐,可以生成特定的彩虹表.

2,对静态盐处理过的散列密码,可以按出现频率进行排序,最常出现的散列密码,对应的明文密码必然还是那些111111、123456之类的。


因此,对于重要的账号密码,我们需要采用动态盐来对密码进行混淆。一个常用做法就是把账号名进行MD5之后,作为动态盐。则上述两种攻击将失效。

比如,用户名是wsq,对应的md5是4572381974328f9c作为动态盐,密码是123456,加上动态盐之后为4572381974328f9c123456,再MD5是d16e970d6e5b95b9。则最终的计算结果是无法猜测的(unguessable)


wwwsq
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
密码如何“加加密”处理?程序员一定要掌握的知识
CYK_byte的博客
03-22 7213
为什么要使用加的方式对密码进行加密?我们知道传统的 md5 加密方式是可以通过 “彩虹表” 很容易破解的,因为 md5 加密每次生成的密码都是固定的~ 为了解决这个问题,就出现了加加密方式,每次生成的密码都是不一样的~接下来我会讲两种加加密方式(),那么就一起来看一下使用加的方式进行加密和解密吧~
jsp 登录注册 修改密码
12-26
- 密码安全:使用强哈希算法(如bcrypt或scrypt)并加存储用户密码,防止直接泄露。 - CSRF防护:使用CSRF令牌来防止跨站请求伪造。 - 会话管理:正确管理用户会话,避免会话劫持或固定。 8. **Demo项目** ...
(二十八)动态的MD5加密算法(java实现)
young-youth的博客
07-26 3600
动态值加密MD5,java实现
Bcrypt 动态对比静态的优点
qq_35772366的博客
09-30 583
,一般用于存储密码的场景。 一般数据库的信息泄露出去了。那代码文本其实也暴露了,静态就被第三方发现了。 那么第三方就可以md5(暴破密码值+静态),用一个暴破密码值就可以来对比所有用户的密码值是否为这个暴破密码值,这样第三方破解的效率就很高。 而如果使用了bcrypt动态,bcrypt有个复杂的运算过程。是要比md5复杂无数倍的。设置saltRounds越高,就越复杂,消耗的时间就越久,而且用一个暴破密码值就只能来对比一个用户的密码值是否为这个暴破密码值,效率就很低,暴破成本大大提高。 参考 .
MD5动态加密
qq_36863682的博客
10-23 731
由于MD5解密网站的存在,普通的md5加密可能被破解 利用random函数动态生成slat进行加密。 突然写工具类是因为单位给的md5加密工具能加密的量太少了,千把条数据就卡死 自己写的类一两秒就六七万条加密完成了,因为不是多线程工作,用的StringBuilder加快字符串操作效率。 package com.utils; import org.springframework.util.DigestUtils; import java.io.*; import java.util.Array
学生管理系统(ASP.NET)
04-21
此外,为了确保数据安全密码通常会被加密存储,这里可能运用到了安全密码存储策略,例如哈希加法。 3. XML的应用 XML(Extensible Markup Language)是一种用于存储和传输数据的标记语言。在学生管理系统中,...
dating-site:单个项目可能长达四分之一
03-15
同时,密码应通过哈希和加等方式加密存储,防止数据泄露时信息被直接读取。HTTPS协议用于保证通信过程中的数据安全,防止中间人攻击。 **匹配算法** 交友网站的核心功能之一是推荐合适的匹配对象。这需要实现一种...
云天化集团统一安全认证技术方案
05-23
历经多次改革与扩张,发展成为集化肥、有机化工、玻纤新材料、化工、磷矿采选和磷化工等多产业于一体的大型企业集团,总资产超200亿元,是亚洲乃至全球的重要化工企业之一。 #### 目的与适用范围 - **方案...
java毕业设计之农产品网站的设计与开发源码.zip
07-18
同时,密码通常会经过哈希加处理,以增加破解难度。 总的来说,这个Java毕业设计项目是一个综合性的实战案例,涵盖了Web开发中的诸多核心技术,对于提升Java编程能力,理解和掌握Web应用开发流程有着重要的作用。...
动态析示例:这是一个演示项目,旨在展示动态析与静态析背后的概念验证。 许多开发人员错误地使用除用户密码之外的相同来创建新哈希。 不幸的是,攻击者也可以通过执行相同的操作轻松地预先计算出静态。 通过创建复杂的功能来使用动态功能,这些功能可以根据用户记录信息确定的含量,这有助于增加障碍并降低预先计算出的攻击成功率的风险
02-15
动态化示例 这是一个演示项目,目的是展示动态渍相对于静态渍背后的概念验证。 许多开发人员错误地使用除用户密码之外的相同来创建新哈希。 不幸的是,攻击者也可以通过执行相同的操作轻松地预先计算出静态。 通过创建基于用户记录信息确定的成分的复杂功能来使用动态析可以帮助增加障碍并降低预先计算的攻击成功率的风险。 静态通常由破解软件破坏。 通过算法进行动态化,以增加哈希反转的复杂性。 这是在Medium上编写的教程的一部分,请单击下面的链接以获取更多上下文。
password安全动态
weixin_34269583的博客
07-02 172
首先,我们看看什么是:http://zh.wikipedia.org/zh/%E7%9B%90_%28%E5%AF%86%E7%A0%81%E5%AD%A6%29通常情况下,当字段经过散列处理(如MD5),会生成一段散列值,而散列后的值通常是无法通过特定算法得到原始字段的。可是某些情况,比方一个大型的彩虹表,通过在表中搜索该MD5值,非常有可能在极短的时间内找到该散列值相应的真实字段内容。加...
还在用明文存储密码吗?快来了解一下加密吧
weixin_53919192的博客
12-20 1108
本文为大家介绍了密码加密存储的MD5算法、Bcrypt算法的优势劣势以及如何实施、原理、适用情况等,以及分析了加密算法对于密码加密存储的利弊,希望对你有帮助~~
RSA非对称加密【配JWT+RSA实现授权认证】
老白酒,用心酿的博客
05-15 1000
加密技术的类型 加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密),加密技术的要点是加密算法加密算法可以分为三类: 对称加密,如AES 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。 优势:算法公开、计算量小、加密速度快、加密效率高 缺陷:双方都使用同样密钥,安全性得不到保证 非对称加密,如RSA 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公
系统登录的密码动态
Phoenix_smf的博客
04-24 5198
关于系统登录,在上大学的时候就是简单的用户名密码存储到数据库进行匹配,当然这是最基本的登录,但是实际的应用系统中这是非常不安全的,账户密码不论是在数据库中存储还是在网上传输过程中都应该是密文而不能是明文,一般都是采用MD5或者SHA加密算法密码加密,但是这也是不安全的,因为现在网上对于这些流行的加密算法都有密码库,他可以利用库去对比加密后的密文从而反向推出你的密码,网上也有各种在线MD5加密解密...
md5签名动态
Truong的专栏
04-09 4648
md5签名加如果在服务器端是不会暴露的内容的。 如果是前端页面上加,黑客知晓js中的内容,中间拦截并修改了签名和请求参数怎么办呢 可以进行一下操作 1、请求服务端动态值接口 2、服务端程序生成唯一值 3、服务端程序将值保存在缓存中 4、前端拿到值后,按请求参数和顺序+动态值生成签名, 5、后端根据请求参数和顺序+缓存中值生成md5,判断与前端值是否一致即可。
Java动态加密
weixin_42914989的博客
03-15 931
Java动态加密 md5+固定 注册: md5+邮箱号()+ 123456 = 数据库密码 登录: md5+邮箱号()+ 123456 = 密码 此部分之前已经写过博客,需要进一步了解md5加加密的童鞋请点击以下链接 java对密码实现加密(md5、加加密) hash+随机 注册: hash + 随机值()+ 123456= 密码 + 刚才的值 (可逆加密)= 数据库密码 登录: hash + 从数据库解码出+ 123456= 密码 在用户登录时候,系统会从数据库中查询对应用户的
python笔记(摘要算法,加密,动态)
小小龙的博客
11-24 358
摘要算法: @密码的密文存储 @文件的一致性验证 用处:在下载的时候检查我们下载的文件和远程服务器上的文件是否一致 两台机器上的两个文件你想检查这两个文件是否相等 1、用户登陆 import hashlib usr = input('username:') pwd = input('password:') with open('user') as f: for line in f: ...
自定义MD5加加密方式代码实现
代码家
09-02 1141
[size=large]按照自己的理解对密码加密。当用户注册时候会先生成值,保存,然后保存账户和密码。当用户去登录的时候,我们需要先通过我们的用户名去查询我们的值,然后再根据值和密码去匹配对应的数据库。当然这里可能出现一个用户名有多个值的问题,这可能也是很多网站注册利用用户名去唯一识别,当然也跟需求有关,不能修改用户名.。如果是多个的就需要循环去比对.这次加密,主要讲MD5自己改...
java 密码生成
最新发布
10-28
在Java中生成密码是为了增强密码安全性,一般会将密码值进行混合后再加密存储。以下是一种常见的Java密码生成方法: 1. 首先,生成一个随机的值字符串。可以使用Java的SecureRandom类生成一个安全的随机数作为。例如: ``` SecureRandom random = new SecureRandom(); byte[] saltBytes = new byte[16]; random.nextBytes(saltBytes); String salt = Base64.getEncoder().encodeToString(saltBytes); ``` 2. 将密码值进行混合。可以使用Java的String类的concat方法将密码值连接在一起。例如: ``` String password = "123456"; String saltedPassword = password.concat(salt); ``` 3. 对混合后的密码进行加密。常见的密码加密算法有MD5、SHA等。可以使用Java的MessageDigest类进行加密。例如: ``` MessageDigest digest = MessageDigest.getInstance("SHA-256"); byte[] hashedBytes = digest.digest(saltedPassword.getBytes(StandardCharsets.UTF_8)); ``` 4. 将加密后的密码存储在数据库或其他持久化存储中,同时也要存储值。 在验证密码时,使用同样的值对用户输入的密码进行相同的操作,然后将结果与存储的加密后的密码进行比较。如果结果一致,则密码正确。 密码生成是一种增加密码安全性的方法,在存储和验证密码时都需要使用相同的值和加密算法。这样即使相同的密码在不同用户间被使用,也能得到不同的加密结果,提高了密码安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值