用户登录密码加密的hash与salt hash的认识

最新推荐文章于 2024-05-04 14:51:28 发布
最新推荐文章于 2024-05-04 14:51:28 发布
阅读量1.4k 收藏
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojiuanli/article/details/105804567
版权

最近看到一篇文章,链接如下https://www.freebuf.com/articles/web/28527.html

读完后讨论区中的一个问题也引起我的思考,再讲这个问题前先简短介绍一下hash和salt hash的区别。

这里的hash指的是加密hash函数,要复杂于数据结构课中的hash函数,常用的加密hash函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。salt hash中的salt是用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))生成 而来,进行密码加密时是将密码和salt拼在一起后再用加密函数进行加密,在修改密码时,会随机生成新的salt,将加密后的密码和salt分别作为字段存在数据库,登录验证时将输入的密码和salt用同样方式拼接,加密后与数据库中的密码进行比较;而一般的hash只是将密码用加密函数进行加密,将加密后的密码存于数据库。

接下来我们思考这个问题:如果数据库都被黑客攻破了,那salt hash还有什么用呢?

刚看到这个问题时,我也觉得似乎此时的salt hash和hash没什么区别,但hash是一个不可逆的过程,以我个人愚见,salt hash更加安全的原因可能在于我们是如何进行密码与salt的拼接的,我们拼接密码和salt的方式不同得到加密后的密码也就不同,所以即使数据库被攻破,知道对应的salt是什么,只要salt长度足够,因为密码和salt拼接的组合方式有很多,想反推出密码会更难,因此salt hash要比hash更安全。欢迎大家留言讨论~

xjllxjxjl
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Hash 哈希与加盐哈希、常用的哈希算法
HeatDeath的博客
05-13 4312
1、常见hash算法的原理 http://blog.jobbole.com/106733/ 2、到底什么是hash? https://www.zhihu.com/question/26762707 3、加盐密码保存的最通用方法是? https://www.zhihu.com/question/20299384 4、加盐密码哈希:如何正确使用 http://blog.jobbole.c...
C# salt+hash 加密
weixin_33695450的博客
01-03 117
1   先明确几个基本概念   (1)伪随机数:pseudo-random number generators ,简称为:PRNGs,是计算机利用一定的算法来产生的。伪随机数并不是假随机       数,这里的“伪”是有规律的意思,就  是计算机产生的伪随机数既是随机的又是有规律的。怎样理解呢?产生的伪随机数有时遵守一定的规律,有       时不遵守任何规律;伪随机数有一部分遵守一...
网络安全最全app与后台的token、sessionId、RSA加密登录认证与安全解决方案
最新发布
2401_84301227的博客
05-04 656
粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请求资源时都带上sessionId。1.1 登录验证上述简易的登录验证策略存在明显的安全漏洞,需要优化。
加盐hash保存密码的正确方式(上)
LVXIANGAN的专栏
10-17 6001
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很
哈希加盐法(HASH+SALT
热门推荐
蒟蒻升级中...Orz
05-30 2万+
一些网站的数据库管理着用户的ID及口令,口令以MD5等加密后的
Hash算法对密码进行散列,以及获取Salt的工具类
Satsuki.Cyan的博客
03-27 428
一、HashUtils(“MD5” / “SHA1”) public static String getMD5( String str ) { return hash( str, "MD5" ); } public static String getMD5( File file ) { return hash( file, "MD5" ); } public static S...
C#使用 Salt + Hash 来为密码加密
08-31
本文主要介绍了几种常见的破解密码的方法,为密码加盐(Salt)以及在.NET中的实现等。具有一定的参考价值,下面跟着小编一起来看下吧
使用 Salt + Hash密码加密后再存储进数据库
10-27
如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码
salt_hash.zip_Node.js_密码加密与解密_密码加盐
09-20
当用户尝试登录时,系统会重复上述过程,使用相同的盐值对用户输入的密码进行哈希,然后与数据库中存储的哈希值进行比较。如果两者匹配,验证成功;否则,验证失败。 除了密码哈希,描述中还提到了非对称加密。非...
深入理解哈希算法、Salt盐值、哈希算法的不可逆性
zhengzaifeidelushang的博客
06-15 1554
深入理解哈希算法、Salt盐值、哈希算法的不可逆性
如何安全的存储密码
weixin_34123613的博客
06-12 121
最近爆出的网站安全问题越来越多,甚至有部分网站的密码泄露,这是一篇简单的教程,教你如何更加安全的保存密码。我这里说的“安全”是指当密码泄露以后,对方需要相当一段时间来破解以获得明文密码。 下面我列出了常用的密码存储手段,从不安全安全: 明文存储 hash 存储,例如 MD5,SHA,SHA256 hash 加盐(salt)存储 使用 bit/key ...
加盐密码哈希:如何正确使用
weixin_34014277的博客
03-19 2190
来源:http://blog.jobbole.com/61872/#csharp 本文由 伯乐在线 - 蒋生武 翻译自 Crackstation。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。   如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险...
内网渗透:四、windowsRDP-hash传递登录
liu_jia_liang的博客
02-21 5017
windows的RDP-hash登录利用 在渗透测试中,如果获得了某个用户的NTLM hash,我们可以尝试使用hash传递的方法对WMI和SMB服务进行登录,对于远程桌面服务同样可以进行利用。抓取hash无法破解的情况下,如果使用hash远程登录RDP,需要开启"Restricted Admin Mode", 在Windows8.1和Windows Server 2012R2上默认开启。 一:windows RDP-受限管理模式 Restricted Admin mode简介 官方说明:Restric
WINDOWS 窃取hash实现远程登录
The current road is different, love needs to distinguish between right and wrong
11-18 878
前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 一、Windows常用用户 SYSTEM: #本地机器上拥有最高权限的用户。 Administrator: #本地机器上拥有最高权限的用户。 Guest: # 只拥有相对较少的权限,默认被禁用。 二、Windows密码安全 1. Quarks P...
SpringSecurity密码加密-咸密码-用户授权验证
weixin_44502237的博客
11-16 627
SpringSecurity的PasswordEncoder官网介绍,密码加密验证方式,盐密码概念,与用户授权
Java中hash+salt加密算法
xsi64的专栏
04-09 1万+
一般我们存储密码的时候,使用hash算法进行存储,但是,这样做是不安全的,虽然不能反向生成密码,但是可以通过彩虹法和反向查表法高效的猜解出密码。 比较安全的做法就是使用hash+salt加密算法。 这里使用了RFC2898标准。 看代码: Rfc2898DeriveBytes.java package com.poreader.common; import java.io.Uns
哈希算法总结
m0_68529003的博客
07-10 677
哈希算法(Hash)又称摘要算法(Digest),它的作用是:对任意一组输入数据进行计算,得到一个固定长度的输出摘要。哈希算法最重要的特点就是:1、相同的输入一定得到相同的输出;2、不同的输入大概率得到不同的输出。所以,哈希算法的目的:为了验证原始数据是否被篡改。哈希算法的用途:1、校验下载文件我们只需要计算一下本地文件的哈希值,再与官网公开的哈希值对比,如果相同,说明文件下载正确,否则,说明文件已被篡改。2、存储用户密码如果直接将用户的原始口令存放在数据库中,会产生安全风险。
php中写salt,PHP密码加盐salt Hash思路
weixin_26741799的博客
03-11 640
加盐Hash:$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));$password=sha1($register_password.$salt);解释:首先使用mcrypt,产生电脑随机生成的,专门用户加密的随机数函数。第二步,把得到的随机数通过base64加密,使其变长并且不利于猜解。第三步,把得出的盐拼接到密码的后面,再对其...
python 用户密码加密
06-10
print("加密后的密码:", hash_str) ``` 上述代码中,首先定义了原始密码和盐值,然后使用 hashlib.sha256() 方法创建一个 SHA256 加密对象,将盐值和原始密码拼接后再进行加密,最后得到加密后的密码字符串。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值