sha、md5、decupt与加盐结合

最新推荐文章于 2023-11-15 11:24:52 发布
最新推荐文章于 2023-11-15 11:24:52 发布
阅读量742 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: md5 破解 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/acingdreamer/article/details/70946774
本文探讨了密码安全的不同策略,包括MD5、SHA等哈希算法的局限性,提出了使用随机盐和bcrypt来增强密码安全性的方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前几天面试时提到了如何保证密码安全,我说了md5、sha。但面试官还是不太满意。因为有这几点原因:

  • 由于MD5历史悠久,大量彩虹表的出现已经使得单纯的MD5运算已经比较容易被破解。
  • sha与md5结合,也只是将上述步骤稍微复杂了一点,因为破解这种密码的成本会越来越低,计算出来的结果也会很有价值。
  • 在被拖库后,salt也会被拿到,使用彩虹表加salt可以制作新的彩虹表。
  • md5本身问题。山大王小云教授已经证明md5是可能被碰撞的。
    当然,以上述方式破解密码的工作量是非常庞大的,这样做是否有价值也先不讨论,我们只讨论理论上的可能性。

加随机盐

这也是初学者比较容易遇到的问题,认为给密码加上一个固定字符串,就可以避免彩虹表的攻击。但是这样的话,黑客只要基于这个规则MD5(password+string)运算一次,就可以得到一个密码库,来破解所有用户的密码。
但是,如果给每一个用户加不同的str后缀,也就是加随机盐,黑客在破解的时候,就要为每一个用户创建一个密码库,这样在他破解一个用户密码后,得到的密码库无法继续使用。极大地增加了破解成本。
当然,如果黑客得到了你的库,这个方法就没什么意义了。

bcrypt加随机盐

这个方式比上一个优势更大的地方在于,黑客即使得到了你的salt盐库,自己制作密码库的时间将无限增加,因为bcrypt可以控制每秒只计算出三个密码。

另外,初始密码在客户端肯定会经过一层md5加密,建议更改为sha-2加密。

加密:MD5?SHA-256?哈希值?MD5加盐
weixin_50782026的博客
02-08 1652
MD5算法的原理可简要的叙述为:MD5码以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。 为什么要用哈希函数来加密密码——哈希函数是单向、不可逆的: 哈希函数:把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值 1、如果开发者需要保存密码(比如网站用户的密码),要考虑如何保护这些密码数据,网站用户密码的泄露是一件非常严重的事情,容
加密代码,先是SHA然后盐值,最后MD5
12-26
个人在开发中使用到的一个工具类,对字符串简单的加密,使用的是java提供的类
基于盐+Sha算法的安全密码保护机制
weixin_33816821的博客
01-26 374
  密码通过加盐后,可以增加密码的复杂度,即便最简单的密码,在加盐后,也能变成复杂的字符串,这大大提高了密码破解的难度。但是如果将盐硬编码在程序中或随机一次生成的,每个密码进行hash使用相同的盐会降低系统的防御力,因为相同密码的hash两次后的结果也是一样的。所以比较正确的做法是每次创建用户或修改密码都使用一个新的随机盐。  很多用户可能想到了将用户名作为盐的方案,虽然对于每一个用户来说用户名可...
Java加密之SHA加盐
GrassEva的博客
09-12 6774
import java.math.BigInteger; import java.security.MessageDigest; import java.security.SecureRandom; import java.util.HashMap; import java.util.Map; public class SHA { public static final String KEY...
密码认证-SHA加盐密码
算法攻城狮
02-23 1889
密码认证,首先是密码加密算法,然后密码咋存储 ,如图所示 密码加密分为不可加密和可逆加密算法。安全存储策略,有明文保存和加盐保存,明文保持容易导致密码丢失,一般采用加盐密码保持。注册和认证流程如下: 用户注册一个帐号 密码经过哈希加密储存在数据库中。只要密码被写入磁盘,任何时候都不允许是明文 当用户登录的时候,从数据库取出已经加密的密码,和经过哈希的用户输入进行对比 如果哈希值相同,用户获得登入授权,否则,会被告知输入了无效的登录信息 每当有用户尝试登录,以上两步都会重复 加密过程采用sha25
哈希加盐算法
最新发布
winnieFighting
11-15 1427
在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?我们通常会将用户的密码进行 Hash 加密,如果不加盐,即使是两层的 md5 都有可能通过彩虹表的方式进行破译。彩虹表就是在网上搜集的各种字符组合的 Hash 加密结果。而加盐,就是人为的通过一组随机字符用户原密码的组合形成一个新的字符,从而增加破译的难度。
浅谈C#中Md5Sha1两种加密方式
09-03
在C#编程中,MD5(Message-...在实际应用中,对于密码存储,通常会结合加盐(salt)和多次迭代(如bcrypt、scrypt或PBKDF2)来提高安全性。而在数据完整性检查中,可以使用如SHA2系列的算法,它们提供了更高的安全性。
Delphi【HMC-SHA签名、SHA加密、MD5加密、URL编码解码、Base64编码解码】
08-06
SHA.exe、HMAC.exe、BASE64.exe、URL.exe、MD5.exe这些文件可能是使用Delphi编写的独立可执行程序,分别对应实现了SHA加密、HMAC-SHA签名、Base64编码解码、URL编码解码以及MD5加密的功能。
c++ md5 slat 加盐源代码
03-07
c++ md5 slat 加盐源代码,用vs 2017 开发
MD5SHA1、SHA256以及SHA512加解密算法实现
12-07
SHA-1MD5类似,也是将任意长度的消息压缩为160位的摘要,但其安全性相对更高,尽管近年来也发现了一些碰撞攻击的可能,所以现在也逐渐被弃用。 SHA-256是SHA-2家族的一部分,它生成一个256位的摘要,相比MD5SHA...
随机盐
洪君的博客
06-20 3132
盐(Salt),在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 随机盐(salt)增加密码存储安全 密码存储形式有三种: 明文 , 加密, 哈希值 明文肯定是不可取的:加密的优点是可以还原密码,缺点是不如哈希值安全,所以我们一般用 哈希值...
MD5SHA所支持的加密算法,加盐处理
u011652925的博客
09-16 1093
SHAUtils工具类 提供5SHA的算法和加盐处理 import android.support.annotation.Nullable; import android.support.annotation.StringDef; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.HashMap; import java.util.Random;.
密码学中的“盐值 Salt”
xiliang_pan的专栏
04-03 4417
盐(Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的时候,大致是这样的结构: mysql> desc
两张图读懂SHA256加盐原理
weixin_45286744的博客
09-15 4243
第一张图:没用SHA256加盐的处理存在漏洞 第二张:盐值的作用,使得彩虹表破译出来的密码无法登录,盐值是一个随机数,跟着用户走。
如何安全的存储用户的密码【摘】
weixin_33971130的博客
03-17 797
2019独角兽企业重金招聘Python工程师标准>>> ...
浅谈MD5加密算法中的加盐值(SALT)
热门推荐
blade2001的专栏
04-22 11万+
<br />我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。<br />  加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。<br />  这里的“佐料”被称作“Salt值”,这个值是由
加盐密码哈希:如何正确使用
weixin_34014277的博客
03-19 2371
来源:http://blog.jobbole.com/61872/#csharp 本文由 伯乐在线 - 蒋生武 翻译自 Crackstation。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。   如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险...
java用户密码摘要加盐的两种方式
dragon064的博客
08-13 1万+
用户密码安全处理,主要是对密码生成摘要,将摘要内容存储到数据库中。一般采用MD5或者SHA生成摘要,这种方式具有方便、快速而且几乎不可还原性。 但是对相同数据返回的摘要信息永远是一样的。如果某人有DB的权限,只要查找摘要跟已知密码摘要相同的用户,就可以破解用户的密码,这对一个项目来说十分危险。 通过加盐技术,可以避免这种问题。有两种加盐方式: 1、通过用户名+用户密码生成加密摘要,因为用户名
哈希加密的正确姿势——如何科学加盐
程序员Sunny的博客
06-10 3893
本文地址: 大家都知道,不管什么系统,只要有用户登录模块的,必然在系统数据库中会存有用户的用户名和密码。用户名明文存储完全没有问题,这里我们就谈谈如何正确地来存储用户的密码。 有些小伙伴可能就说管他怎么存储呢,直接明文存储也没关系。可是这事关我们的信息安全哦!试想一下,如果我们的QQ账号密码都是明文存储在数据库的,那么如果一旦QQ的数据库信息泄漏了。我们的账号和密码信息是不是也泄漏了。...
SHA1MD5加密代码封装下载
资源摘要信息:"SHA1MD5加密算法的代码封装集合" 知识点一:MD5算法介绍 MD5(Message-Digest Algorithm 5)是一种广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值