使用BCrypt加密,让你更安全的储存密码

已于 2023-08-03 09:17:55 修改
阅读量1.4k 收藏
点赞数
分类专栏: 开发技巧 node 加密 文章标签: bcrypt 数据安全
于 2021-07-27 15:14:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiaohai0000/article/details/119102875
版权
开发技巧 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
node
1 篇文章 0 订阅
订阅专栏
加密
1 篇文章 0 订阅
订阅专栏

简介

bcrypt是一个跨平台的文件加密工具,使用的是布鲁斯·施内尔在1993年发布的 Blowfish 加密算法。
Bcrypt生成的密文是60位的,并且不会想MD5那样重复

为什么不推荐使用MD5, SHA1, SHA2, SHA3等?

这些都是通用的hash,旨在用尽可能短的时间计算大量数据的摘要。这意味着它们可以用来很好的确保数据的完整性。

而当今服务器能够计算大约每秒330MB的MD5hash,如果你的用户使用6位的小写字母和数字做为密码,则你可以在40秒内测试该条件的每一种可能!而且相当于没有任何花费!!如果你花2000美刀和一周时间搭建一个小型超级计算机集群,这将让你尝试大约每秒700,000,000个密码,而且速度还会每秒向上增加!!!

盐没有多大帮助

盐对于防范字典攻击或蛮力攻击是无效的,你可以使用巨大的盐和很多穿插的盐,但它不会影响攻击者的破解速度,因为你的数据库中有hash和盐。
是否使用盐,只要使用的是专为速度而生的通用hash,那么上面的破解就会有效

用BCrypt解决这些问题

它太慢了!使用一种变体的Blowfish加密算法的密钥时间表并引入work factor,允许设定hash的复杂程度,让BCrypt可以跟上摩尔定律。还可以增加work factor,将hash变慢。
所以,这不是每40秒破解一次的密码,而是大约12年一次!你的密码可能不需要这种安全性,但是bcrypt允许您选择速度和安全性的平衡点。use it.

BCrypt是后端加密存储的解决方案,流程是:
请求传入后端
得到明文密码
使用BCrypt加密得到hash
存入数据库
返回结果

验密流程:
请求传入后端
得到明文密码
数据库取出对应hash
使用BCrypt验证
返回结果

node中的使用方法

  1. 安装
npm install bcrypt
  1. 使用
// 引入BCrypt模块
const bcrypt = require('bcrypt');
// 定义加密密码计算强度
const saltRounds = 10;
// 明文密码
const myPlaintextPassword = 'abc123456';
const someOtherPlaintextPassword = 'not_bacon';

下面两种方法是一样的加密效果

// 加密方法1(调用单独的函数生成盐和hash)
bcrypt.genSalt(saltRounds, function(err, salt) {
    bcrypt.hash(myPlaintextPassword, salt, function(err, hash) {
        // 数据库存入hash
    });
});

// 加密方法2(自动生成盐和hash)
bcrypt.hash(myPlaintextPassword, saltRounds, function(err, hash) {
    // 数据库存入hash
});

验密

// 从数据库得到hash
bcrypt.compare(myPlaintextPassword, hash, function(err, result) {
    // result == true
});
bcrypt.compare(someOtherPlaintextPassword, hash, function(err, result) {
    // result == false
});

更多方法可以参考官方文档

注意

  • saltRounds 表示密码加密的计算强度,从1级到10级,强度越高,密码越复杂,计算时间也越长。 值得注意的是,强度为1-3时强度太低,系统会默认使用强度为10的计算方式进行加密!
  • 每个bcrypt的执行,只使用字符串的前72个字节。匹配密码时忽略任何额外的字节。请注意,这不是前72个字符。字符串可以包含少于72个字符,同时占用超过72个字节(例如,包含Emojis的UTF-8编码的字符串)。

参考文章:

懒得安分
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
accreate:带有bcrypt的帐户creatormanager,用于密码哈希和基本存储。 致力于增加数据加密好的密码匹配
05-25
:party_popper: 现在在! :party_popper: Accreate是一个非常易于使用的帐户创建者/经理。 要使用Accreate,只需将repl派生到或在下载zip,然后按照下面的简单教程进行操作即可。 如何使用 安装很简单。 使用const acc = require("accreate"); 用于Node.JS。 要创建一个帐户,请使用acc.create() 。 属性: acc帐户名 pass -密码 返回值: null表示有效 "ERR" -失败 没有-内部错误 要编辑/管理帐户,请使用acc.request() 。 属性: acc帐户名 pass -密码 对象/功能: changePass密码。 (属性:x =新密码) pfp返回个人资料图片 del删除帐户 硬币管理(可选硬币): input -将硬币添加到您的帐户 coins -返回硬币数量 withdraw -减少硬币数量 关注者(
BCrypt加密介绍及实现(赶快收藏起来)
weixin_45131680的博客
11-21 704
一种加盐的单向Hash,不可逆的加密算法,同一种明文(plaintext),每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。是不加盐的单向Hash,不可逆的加密算法,同一个密码经过hash的时候生成的是同一个hash值,在大多数的情况下,有些经过md5加密的方法将会被破解。Bcrypt生成的密文是60位的。而MD5的是32位的。目前,MD5和BCrypt比较流行。相对来说,BCrypt比MD5安全,但加密慢。
对用用户密码的保存方式之BCrypt加密方式
热门推荐
TechBirds在路上
07-05 2万+
在需要用户模块的项目中,对于用户密码的保存,一般不会使用明文保存,这样是不安全的。通常情况下,我们都需要对密码进行不可逆的加密,然后存放在数据库中。然后在用户登录的时候,把其输入的密码进行加密与数据库中存放的密文对比来判断密码是否正确。 目前所使用比较多的是MD5,但是BCrypt使用的比较多,相对来说BCrypt比MD5要安全一些,他的加密慢。而且一般我们再对密码进行密文加密后,如果有人从
node.js后端BCrypt密码进行加密解密
qynglby的博客
02-12 589
MD5是一种可反向破解的密码加密,如果你的密文被截获它就可以在MD5在线解密破解得到密码,然后就可以根据你的账号密码登录账号。虽然不能转换成明文密码,但是它还是会被彩虹破解,只是相对于破解时间来说两者差别巨大,如果非要举例说明一下,用彩虹破解MD5可能需要3分钟左右,而BCrypt就需要14年之久。在用户模块,对于用户密码的保护,通常都会进行加密然后存放在数据库中,在用户进行登录的时候,将其输入的密码进行加密然后与数据库中存放的密文进行比较,以验证用户密码是否正确。目前,MD5和BCrypt比较流行。
password-reset:使用 express+mongoose+ nodemailer+passport+bcrypt 重置节点密码
06-29
重设密码 使用 express+mongoose+ nodemailer+passport+bcrypt 重置节点密码 安装 1-git 克隆 2-cd 密码重置 && npm install 跑步 3 节点 app.js 模块 用于 MongoDB 的猫鼬 Nodemailer 用于发送电子邮件(警告使用 0.7.1,最新版本不起作用!) 护照认证 bcrypt 存储哈希密码 async 管理异步操作 加密一种封装安全凭证的方法 模板引擎 玉 保持学习 :)
基于加盐BCrypt算法的电商安全模块设计及实现
05-06
随着大数据时代的来临,密码泄露的情况时有发生,数据安全已成为我们日益关心的问题.本文运用springmvc+spring+mybatis框架技术,通过模型分析、数据库表设计、时序图逻辑跳转的方式,详细地阐述了加盐BCrypt算法在电商安全模块中的应用,有效地解决了MD5加密算法的弊端,极大地提高了信息的安全性.
前端密码加密 —— bcrypt、MD5、SHA-256、盐
技术前端,忠于热爱 @0.活在风浪里
07-24 5580
bcrypt、MD5、SHA-256、盐
安全加密算法 Bcrypt,再也不用担心数据泄密了~
码猿技术专栏
09-14 1663
大家好,我是不才陈某~这是《Spring Security 进阶》专栏的第三篇文章,给大家介绍一下Spring Security 中内置的加密算法BCrypt,号称最安全加密算法,究竟有着什么魔力能让黑客闻风丧胆往期文章如下:HttpBasic 认证模式活该被放弃手摸手教你定制 Spring Security 表单登录当然还有OAuth2.0相关的集成,看《Spring Cloud 进阶》这个专...
密码学系列之:bcrypt加密算法详解
java_xiaoo的博客
09-16 1994
简介 今天要给大家介绍的一种加密算法叫做bcrypt, bcrypt是由Niels Provos和David Mazières设计的密码哈希函数,他是基于Blowfish密码而来的,并于1999年在USENIX上提出。 除了加盐来抵御rainbow table 攻击之外,bcrypt的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。 bcrypt函数是OpenBSD和其他系统包括一
加密算法---BCryptPasswordEncoder的使用及原理
weixin_43811057的博客
02-08 8668
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
论单向加密算法Bcrypt
qq_53881587的博客
02-01 1486
论单向加密算法Bcrypt
mongoose-pii:一个Mongoose插件,可让您透明地加密存储的PII并使用安全隐藏的密码
02-03
目前最典型的技术水平是BCrypt,在生产中具有安全随机的IV和10多个回合(例如2个10 +迭代)。 PII应该安全加密; 通常我们会使用AES256。 这些帮助避免通过数据库盗窃或未经授权的直接访问来访问明文密码和破坏PII...
FlashPaper:一次性加密密码秘密共享
02-06
一次性加密的零知识密码/秘密共享应用程序专注于简单性和安全性。 无需数据库或复杂的设置。 演示版 要求 PHP 5.6以上 网络服务器 安装 将此存储库的内容复制到Web服务器的文档根目录。 将settings.example.php复制...
bcrypt:NodeJS中的项目,用于实现BCrypt中间件
05-04
从存储库创建,以编译有关节点,表达和加密的课程。 首先从一个空的存储库开始,然后按照以下步骤创建git init: git init git clone https://github.com/Estebmaister/bcrypt.git 从FCC中的原始存储库添加文件...
C#,数值计算,解微分方程的龙格-库塔二阶方法与源代码
04-25
C#,数值计算,解微分方程的龙格-库塔二阶方法与源代码 微分方程 含有导数或微分的方程称为微分方程,未知函数为一元函数的微分方程称为常微分方程。 微分方程的阶数 微分方程中导数或微分的最高阶数称为微分方程的阶数。 微分方程的解 使得微分方程成立的函数称为微分方程的解。 微分方程的特解 微分方程的不含任意常数的解称为微分方程的特解。 微分方程的通解 所含相互独立的任意常数的个数与微分方程的阶数相等的微分方程的解称为微分方程的通解。
桌面聊天室
04-25
该毕业设计采用了c/s架构,通过javase中的知识编写完成,系统功能包括:用户注册,用户登录,聊天功能。 对于刚学完java基础的同学来说可以通过该毕业设计加深对所学知识的理解。该系统使用socket进行数据的发送,用户注册登录之后,可以进行多人聊天,功能类似qq群聊。
【前端素材】大数据-交通大屏.zip
最新发布
04-25
大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具: Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。 Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce快的数据处理能力。它支持内存计算和多复杂的数据处理流程。 NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则适用于处理这类数据。 数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。 数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。 机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。 流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。
inspect:windows系统下的控件识别工具
04-25
windows系统下的控件识别工具,可用于桌面应用的UI自动化测试
038ssm-jsp-mysql高校毕业生就业满意度调查统计系统.zip(可运行源码+数据库文件+文档)
04-25
高校毕业生就业满意度调查统计系统是以实际运用为开发背景,运用软件工程开发方法,采用jsp技术构建的一个管理系统。整个开发过程首先对软件系统进行需求分析,得出系统的主要功能。接着对系统进行总体设计和详细设计。总体设计主要包括系统总体结构设计、系统数据结构设计、系统功能设计和系统安全设计等;详细设计主要包括模块实现的关键代码,系统数据库访问和主要功能模块的具体实现等。最后对系统进行功能测试,并对测试结果进行分析总结,及时改进系统中存在的不足,为以后的系统维护提供了方便,也为今后开发类似系统提供了借鉴和帮助。 本高校毕业生就业满意度调查统计系统采用的数据库是Mysql,使用JSP技术开发。在设计过程中,充分保证了系统代码的良好可读性、实用性、易扩展性、通用性、便于后期维护、操作方便以及页面简洁等特点。 关键词:高校毕业生就业满意度调查统计系统,JSP技术,Mysql数据库
SpringSecurity的密码加密bcrypt
03-14
可以使用SpringSecurity提供的BCryptPasswordEncoder类来进行密码加密。以下是一个示例代码: ``` String password = "myPassword"; BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String hashedPassword = passwordEncoder.encode(password); ``` 在这个示例中,我们使用BCryptPasswordEncoder类将密码加密为哈希值。哈希值可以存储在数据库中,以便在用户登录时进行验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值