存储密码时为什么要加盐?

最新推荐文章于 2025-09-05 19:11:47 发布
原创 最新推荐文章于 2025-09-05 19:11:47 发布 · 966 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码

存储密码时为什么要加盐?

本文转自 公众号 ByteByteGo,如有侵权,请联系,立即删除

今天来聊聊存储密码时为什么要加盐。

img

存储密码应注意

  1. 不要用纯文本存储密码,因为任何有内部访问权限的人都可以看到它们。
  2. 直接存储密码哈希值是不够的,因为它会受到预计算攻击,如彩虹表 (rainbow tables)。
  3. 为了减少预计算攻击,我们对密码进行加盐处理。

什么是盐?

根据 OWASP 指南,“盐是随机生成的唯一字符串,作为哈希过程的一部分添加到每个密码中”。

如何存储密码和盐?

  1. "盐"并不是为了保密,它可以以纯文本形式存储在数据库中。它用于确保每个密码的哈希结果是唯一的。
  2. 密码可以使用以下格式存储在数据库中:hash (password + salt)

如何验证密码?

要验证密码,可以通过以下过程:

  1. 客户端输入密码。
  2. 系统从数据库中获取相应的盐。
  3. 系统将盐附加到密码上,并对其求哈希值。我们把哈希值称为 H1。
  4. 系统比较 H1 和 H2,其中 H2 是存储在数据库中的哈希值。如果两者相同,则密码有效。

正文

实际开发中如何存储密码(md5加盐bcrypt)golang
abcnull 的博客
03-10 724
一般前端把用户密码发给服务端,服务端实际业务中如何存储密码呢,如何存储密码才能保证密码不被开发者获取或者被截取呢,保证密码的安全。
【面试题】为什么要给密码加盐
激流丶的博客
10-25 2351
在计算机安全领域,特别是在密码学和数据保护中,“盐”(salt)是指一种随机数据,它被添加到密码或其他敏感数据中,以增加其复杂性和唯一性。盐的主要目的是防止攻击者通过预计算的哈希表(如彩虹表)来破解密码。盐的作用增强安全性通过向每个用户的密码添加唯一的盐,即使两个用户使用了相同的密码,它们的哈希值也会不同。这使得攻击者无法使用预计算的哈希表(例如彩虹表)来快速查找密码,因为每条记录都需要单独处理。防止彩虹表攻击彩虹表是预先计算好的哈希值列表,用于快速查找密码
加密算法中的加盐
923723914
09-12 1544
在应用中,出于到安全的考虑和数据的保密,需要使用到加密算法,有候为了让加密的的结果更加扑朔迷离神鬼莫测一些,常常会给被加密的数据加点“盐”。说白了,盐就是一串数字,完全是自己定义的,不多说,上实例。 /** * 获取当前用户盐 * * @param string $extraKey 额外密钥 * @return string */ ...
数据加盐处理(密码加盐
最新发布
hahai_的博客
09-05 463
密码加盐技术通过为每个用户密码附加随机字符串(盐值),再哈希存储,有效提升密码安全性。文章介绍了加盐的原理(防止彩虹表攻击、保证哈希唯一性)及在SpringBoot+Vue项目中的实现:使用BCryptPasswordEncoder自动处理盐值,结合AES加密传输数据,完成用户注册/登录功能。关键步骤包括生成随机盐、拼接密码哈希、验证密码等,最终实现安全密码存储,避免数据库泄露导致密码被破解。
什么叫给密码加盐”?如何安全的为你的用户密码加盐”?
硬核项目经理
05-21 1928
什么叫给密码加盐”?如何安全的为你的用户密码加盐”?在面对这个网络世界的候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号...
密码为啥要加盐处理?
wangshanlong_的博客
08-16 264
输入入密码登录之后,服务端会先把你的密码对应的盐取出,然后再去执行一遍获取哈希值的过程。如果最终计算出来的哈希值和保存在数据库中的哈希值一直,那就说明密码是正确的。否则的话,密码就不是正确的。哈希算法的是不可逆的,你无法通过哈希之后的值再得到原值,这样的话,服务端也不知道你的原密码到底是什么,自然没办法告诉你原密码是什么。加盐就是在你输入的密码候加上一个随机的字符串,然后生成密码候将密码和salt拼接起来生成加密的密码,这样密码的安全性提高。
(转)为什么要在密码里加点“盐”
小栗子的博客
08-12 335
为什么要在密码里加点“盐” 盐(Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的候,大致是这样的结构: mysql> desc User; ±---------±-------------±-----±----±--------±--
精选资源
java生成md5密码加盐
07-10
在数据库中,我们应存储加盐后的MD5密码,格式为`password$salt`,其中`$`是分隔符。在验证,我们将用户输入的密码存储加盐MD5值进行比较。 总的来说,Java和SpringBoot结合加盐MD5提供了一种相对安全的密码...
salt_hash.zip_Node.js_密码加密与解密_密码加盐
09-20
本案例主要关注的是如何利用Node.js的crypto模块来进行密码加密与解密,并且涉及到了密码加盐(salt)的策略。以下是对这两个关键知识点的详细说明。 首先,我们来看密码加密。在Node.js中,crypto模块是内建的,...
密码加密为什么弃用MD5加盐,选择了Bcrypt加密
骷大人的博客
03-13 929
选择 Bcrypt 是因为它专门为密码存储设计,能够提供更高的安全性。相比于 MD5 加盐,Bcrypt 更适合现代密码存储的需求,并能有效抵御当前和未来的密码破解攻击。
密码加盐(salt)
weixin_73882343的博客
01-13 911
此路不通就另择他法,比如,使用彩虹表进行反向推出你的密码,彩虹表中是一些常用的固定长度的纯文本的哈希值,当这张表越大,破解密码的机率就越大。盐(Salt)就是一个随机生成的字符串,每次修改密码或者操作,都会生成新的随机字符串,将原始密码进行哈希算法之后,进行加盐,就是把随机字符串混入到密码哈希值中,再将这个值再次进行哈希算法计算,这样生成的密文就更安全了。密码加盐主要是针对用户的登录密码而言的,原始密码经过MD5(一种Hash算法)加密后,一些固定长度的简单纯文本密码的密文也会被破解出来。
密码加盐
01-20
在讲述密码加盐之前,我们先梳理一下,我们常见的密码及加密方式 明文密码    所谓明文密码就是没有对密码做任何加密措施,前台传到后台的是 “123456”,后台数据库中保存的就是”123456″,这种密码没有什么安全可言,数据库被拷走,那么用户的信息就被连锅端了。 简易密码加密    所谓简易密码加密,就是后台服务自己定义一些简单的加密方式,如:密码反着存、密码加前后缀、密码字符串中指定字符被替换等等。这种密码乍看有点加密的意思,但是你都被黑客大哥给攻破了,你的数据库,后台加密程序都被人家拿走了,那不还是相当给人家的明文嘛。所以也很不安全。  MD5 加密    我知道的第一个正经的加密方式就
什么是密码加盐
崔二旦
03-23 1万+
Apache Shiro 学习记录
加盐加密详解
qq_61925446的博客
10-11 2922
加盐加密就是后端在存储一个密码候,为了提高安全性,随机生成一个盐值(随机值),将盐值和密码进行有规则的结合,然后将结合过后的数据使用加密算法(一般是md5加密)再次加密,然后将再次加密后的数据和盐值按着一定规则组合起来存放在数据库的加密流程。流程图:普通的加密手段就是只使用md5加密或者不加密。如果发生数据库信息泄露,账户和密码基本上算是直接泄露。因为md5加密的密码虽然不能被反推,但是md5加密后的密码都是唯一的,可以通过穷举的方式暴力破解。加盐算法就大大增加了黑客的破解成本。
为什么要在密码里加点“盐”
热门推荐
K8sCat
03-03 1万+
https://libuchao.com/2013/07/05/password-salt
密码学中的“盐值 Salt”
xiliang_pan的专栏
04-03 4491
盐(Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的候,大致是这样的结构: mysql> desc
加盐加密——保障你的数据安全
qq_54469537的博客
05-29 4394
什么是加盐加密?如何实现加盐加密的代码?
解释加密中的加盐操作
weixin_42930616的博客
05-19 954
加盐是指在密码哈希之前,添加一个随机生成的字符串(盐),以增加哈希结果的独特性。目的是为了防止彩虹表攻击,并确保即使两个用户使用了相同的密码,它们的哈希结果也会不同。最佳实践是使用如BCrypt、Argon2等内置加盐机制的强哈希算法,而不是自己手动实现加盐和哈希逻辑。这些算法不仅自带加盐功能,还设计有工作因子(cost factor),可以根据硬件性能调整计算复杂度,进一步提高安全性。
用户登录如何验证加盐哈希的密码
08-20
在用户登录验证使用**加盐哈希(salted hash)**的密码,关键在于:**使用相同的盐值对用户输入的密码进行相同的哈希运算,并与数据库中存储的哈希值进行比较**。 --- ## ✅ 登录验证流程(加盐哈希) 1. **用户输入用户名和密码** 2. **系统根据用户名从数据库中查询用户信息** 3. **获取该用户存储的哈希密码和对应的盐值** 4. **使用该盐值对用户输入的密码进行加盐哈希** 5. **比较新生成的哈希值与数据库中存储的哈希值是否一致** 6. **一致则登录成功,否则失败** --- ## ✅ 示例代码(Java + SHA-256 + Salt) ### 假设数据库中存储了两个字段: - `stored_hash`:用户密码的哈希值 - `salt`:用于生成该哈希的盐值 ```java import java.security.MessageDigest; import java.util.Base64; public class PasswordVerifier { // 哈希方法(与注册一致) public static String hashPasswordWithSalt(String password, String salt) throws Exception { MessageDigest md = MessageDigest.getInstance("SHA-256"); md.update(salt.getBytes()); byte[] hashedPassword = md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } // 验证登录 public static boolean verifyPassword(String inputPassword, String storedHash, String salt) throws Exception { String hashedInput = hashPasswordWithSalt(inputPassword, salt); return hashedInput.equals(storedHash); } public static void main(String[] args) throws Exception { // 模拟数据库中存储的值 String storedHash = "5Ld5r7ZzK4RrsGDe7JIh4SLfW7JpVWOeX6RrsGDe7JIh4SLfW7JpVWOe"; // 示例哈希值 String salt = "abc123xyz"; // 示例盐值 // 用户输入密码 String inputPassword = "myPassword123"; // 验证密码 if (verifyPassword(inputPassword, storedHash, salt)) { System.out.println("登录成功!"); } else { System.out.println("密码错误!"); } } } ``` --- ## ✅ 使用 Spring Security 的方式(推荐) 如果你使用的是现代密码哈希算法(如 `bcrypt`),**盐值是自动嵌入在哈希字符串中的**,你不需要手动处理盐值。 ### 示例:Spring Security + BCryptPasswordEncoder ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; public class SpringLoginExample { public static void main(String[] args) { BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(); // 假设这是数据库中存储的哈希密码 String storedHash = "$2a$10$abc123..."; // 从数据库获取 // 用户输入的密码 String inputPassword = "myPassword123"; // 验证密码 if (encoder.matches(inputPassword, storedHash)) { System.out.println("登录成功!"); } else { System.out.println("密码错误!"); } } } ``` > **说明**:`BCryptPasswordEncoder.matches()` 方法会自动提取存储的哈希字符串中的盐值,并使用相同的算法重新计算哈希进行比较。 --- ## ✅ 总结 | 步骤 | 说明 | |------|------| | 1. 获取用户输入密码 | 用户在登录页面输入的密码 | | 2. 获取盐值和哈希 | 从数据库中根据用户名获取 | | 3. 重新计算哈希 | 使用相同算法和盐值对输入密码进行哈希 | | 4. 比较哈希值 | 若一致则登录成功,否则失败 | | 5. 使用 bcrypt 等现代算法 | 盐值自动嵌入在哈希字符串中,无需手动管理 | ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xwhking

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值