《加盐hash保存密码的正确方式》笔记

最新推荐文章于 2023-07-12 20:43:11 发布
最新推荐文章于 2023-07-12 20:43:11 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiyunhzy/article/details/50749273
版权

近日读了《加盐hash保存密码的正确方式》,在此对此文做些要点记录,以便日后要使用相关知识的时候能够快速定位。

1、文章说到不能使用MD5这中简单的hash算法加密密码,原因在于该算法已经被破解了,应该使用SHA256, SHA512, RipeMD, WHIRLPOOL等函数加盐后加密。

2、破解Hash算法常用的方法有:暴力破解、字典攻击、查表破解、反向查表破解、彩虹表。

3、盐的长度不能太短,经验得出盐的长度跟hash算法得出结果的长度一致较好,比如SHA256的盐为265位(4个字节)为好。

4、应该使用公认的hash算法,不要自己设计hash算法。

5、认为多重hash能提高破解难度,这种想法是错误的。所带来的破解难度只是微乎其微。

6、存密码的一般步骤:

1) 使用CSPRNG生成一个长的随机盐。
2)将密码和盐拼接在一起,使用标准的加密hash函数比如SHA256进行hash。
3) 将盐和hash记录在用户数据库中。

7、取密码的一般步骤:

1 从数据库中取出用户的盐和hash
2将用户输入的密码和盐按相同方式拼接在一起,使用相同的hash函数进行hash
3 比较计算出的hash跟存储的hash是否相同。如果相同则密码正确。反之则密码错误。

8、使用慢速hash函数使得破解更加难。比如:PBKDF2或者bcrypt

9、使用HMAC哈希函数。

EA88
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
golang哈希加密加盐
weixin_42523416的博客
08-14 1249
golang哈希加密加盐 func HashSalt(str,salt string)string{ //md5加密 m := md5.New() io.WriterString(m,str) //加盐 io.WriterString(m,salt) return fmt.Sprintf("%x",m.Sum(nil)) }
加盐hash保存密码正确方式
lxf0613050210的博客
01-31 541
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发 生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带密码 hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多
加盐hash保存密码正确方式(上)
LVXIANGAN的专栏
10-17 5964
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很
前端慢速加盐散列
Dream - to be coder
05-20 548
转载链接--》链接
GO 存储密码
最新发布
dx1313113的博客
07-12 441
目前用的最多的密码存储方案是将明文密码做单向哈希后存储,单向哈希算法有一个特征:无法通过哈希后的摘要(digest)恢复原始数据,这也是“单向”二字的来源。结合上面两个特点,考虑到多数人所使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合, 然后与数据库中的摘要进行比对即可获得对应的密码。怎么解决这个问题呢?只要时间与资源允许,没有破译不了的密码,所以方案是:故意增加密码计算所需耗费的资源和时间,使得任何人都不可获得足够的资源建立所需的。目前Go语言里面支持的库。
单向hash加密算法Bcrypt
qq_43555156的博客
07-30 860
加密算法Bcrypt欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
salt_hash.zip_Node.js_密码加密与解密_密码加盐
09-20
本案例主要关注的是如何利用Node.js的crypto模块来进行密码加密与解密,并且涉及到了密码加盐(salt)的策略。以下是对这两个关键知识点的详细说明。 首先,我们来看密码加密。在Node.js中,crypto模块是内建的,...
C#使用 Salt + Hash 来为密码加密
08-31
本文主要介绍了几种常见的破解密码的方法,为密码加盐(Salt)以及在.NET中的实现等。具有一定的参考价值,下面跟着小编一起来看下吧
常见的用户密码加密方式以及破解方法
01-07
“ 要完全防止信息泄露是非常困难的事情“”,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄露...用户密码加密用户密码保存到数据库时,常见的加密方式有哪些,我们该采用什
Flask框架中密码加盐哈希加密和验证功能的用法详解
12-25
密码加密简介 密码存储的主要形式: ... 加盐哈希加密:加密时混入一段“随机”字符串(值)再进行哈希加密。即使密码相同,如果值不同,那么哈希值也是不一样的。现在网站开发中主要是运用这种加密方法。
加密解密工具支持随机(带源码)
02-12
一个多功能加密解密工具,支持QQtools、MD5、DES、AES、SHA256、Base64 等多种加密解密方式,并支持随机,附有源码,可直接编译使用。
详解PHP处理密码的几种方式
10-21
例如,使用`hash()`函数可以很容易地对密码进行SHA256加密: ```php $password = hash("sha256", $password); ``` 在密码加密中,值(Salt)是一个增强安全性的关键概念。值是一个随机字符串,附加到原始密码...
使用 Salt + Hash密码加密后再存储进数据库
10-27
如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码
浅谈discuz密码加密的方式
12-19
这种双重哈希加盐的策略显著提高了密码的安全性。因为即使攻击者获取了哈希值,他们也无法直接反向计算出原始密码,而且每个用户的值都是随机的,增加了破解的难度。此外,由于值的存在,相同的密码在不同的系统...
passwordHash:Go的密码哈希兼容功能
04-12
密码哈希 密码哈希包与Node的password-hash兼容用法package mainimport "github.com/malixsys/passwordHash" func main () { // Generate a hashed password testPassword := `test1234` hashedPassword := password...
用户登录最佳实践(基于慢哈希)
bjspo的博客
05-10 3266
阅读此文章,对于对密码加密技术不是很熟悉的同学,请阅读我的前一篇文章《加密算法应用之密码保护》 https://blog.csdn.net/bjspo/article/details/90057377 一、从思想上重视数据安全1 一个健壮的系统应该是: 即使被拿走了数据和所有的代码,也没办法破解里面的数据。 这也是为什么大家不必实现自己的加密算法,而是使用公开的加密算法的原因,比如...
关于密码的加密数据存储--正确使用加盐密码哈希
Jack__iT的博客
06-19 3780
为什么密码需要进行哈希? hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366 hash("waltz") = c0e81794...
node.js 实现用户注册 密码加盐加密
06-08
在存储用户数据时,将加盐后的密码保存到数据库中。当用户登录时,再根据输入的密码保存值重新计算密码哈希值,与数据库中保存密码进行比对,以验证用户身份。 这样做可以增加密码的安全性,即使数据库被盗...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值