密码存储与传输的那些事儿(一)密码存储概述

最新推荐文章于 2025-06-08 14:41:35 发布
最新推荐文章于 2025-06-08 14:41:35 发布
阅读量2.5k 收藏 7
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 安全 文章标签: 密码存储 哈希 摘要 加盐
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jjxojm/article/details/81545407

     最近看到一个项目,用明文存储的密码,让人不忍直视,所以就想聊聊密码的存储以及登陆过程中密码传输的那些事儿。

     首先就来看看密码存储,密码不能明文存储相信这个都不会有异议,那应该如何存储呢?    

方案1: 加盐哈希

       相信这个方案也是大多数公司目前使用的方案,至于哈希算法的话,普遍都采用MD5、SHA1、SHA256等算法。加盐的方式也各不相同,比如在密码尾部、在密码中间、在密码头部增加随机盐,有的甚至会使用多次HASH。

       不仅如此,甚至可以每次用户设置密码的时候,都为每一个用户生成随机盐,并将随机盐与用户信息一并存储(有时为了混淆,最好将随机盐与密码分表存储,也不要起SALT之类的列名)如此相信即使攻破的数据库,想要破解用户密码也是相当困难的。

       后续如果收到用户登陆请求,取出用户随机盐并通过相同的算法进行计算,将结果和数据库中密码相对比就可以判断用户密码是否输入正确。

        由于摘要算法的不可逆性,其实一定程度上就限制了登陆过程中用户密码的传输方式。例如:假设服务器的密码转换算法为MD5(SALT + PASSWORD),那么登陆时,有几种选择:

  • 传明文密码,在服务器完成密码转换后与数据库中密码进行比对;这种方式在非HTTPS情况下还是相当危险的,如果你是HTTPS的话,也可以用这种方式,但也不是太优雅;
  • 将用户随机盐发送给客户端,客户端再使用SHA256(SALT+PASSWORD)计算之后将结果传送给服务器,服务器直接与数据库中的匹配。这种方式虽然不再明文,但是存在两个问题:如果客户端是浏览器,你就很容易暴露你服务器内部的密码转换算法;如果你的随机盐是每个用户1个随机生成的,那么必然会存在多次交互,首先要根据用户登录名去查出其随机盐返回给客户端,之
最低0.47元/天 解锁文章

200万优质内容无限畅学
19、密码协议攻击认证机制解析
stone的博客
07-14 3
本文深入解析了密码协议攻击认证机制,详细介绍了常见的密码协议攻击类型,如重放攻击、中间人攻击、伪装攻击等,并提供了相应的防范措施。文章还探讨了盲签名协议的工作原理及其安全性风险,分析了不同认证方式的特点应用场景。通过本文,读者可以全面了解密码通信的安全隐患以及如何设计安全的认证机制来保障通信安全。
关于密码安全存储的实现
liangwenrong的博客
05-20 785
文章目录、想法二、设计三、加密方法选择4、加密的简单实现4.1 技术选择4.2编码实现5、时间测试、安全测试 、想法 对于密码的安全不容忽视,密码由终端用户产生,并经过网络,被服务器处理,最后存储存储设备中。 密码必须加密存储,即使数据库泄露也不会导致系统被击破。 同时还要考虑到服务器也会存在源码泄露的可能,因此应该考虑到即使源码和数据均被暴露,攻击者也无法加以利用。 二、设计 核心: 抛开具体的实现,密码传输和加密过程如果足够安全,则很大程度上可以防范密码的破解。 1、对于前端提交的密码,除了
密码保存工具
05-10
用C#做的个安全笔记本,打开笔记时需要输入口令,用AES进行加密,有类似于OneNote的分区和笔记结构,喜欢的可以看看。使用的是VS2015。
用户密码到底要怎么加密存储
Java技术栈,分享最主流的Java技术
02-08 5065
Java技术栈www.javastack.cn优秀的Java技术公众号作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是些企业发生了信息泄露事件,且这些泄...
Go实现Dropbox风格的密码存储系统
最新发布
weixin_29097457的博客
06-08 951
Go语言,又称Golang,是由Google开发的种静态类型、编译型、并发型的编程语言。它旨在将简洁的语法、高效的执行以及强大的并发能力集成到个系统编程语言中。Go语言的设计哲学强调简洁、高效、安全,适合用于构建可维护、可扩展的大型软件。
用户密码保存
keep_learn的专栏
02-22 949
用户密码保存分析JavaWeb项目中,用户密码保存方案决定用户信息的安全。依托好的设计实现,即便是黑客拿到系统的源码和数据库的用户表,也难以获取用户的密码明文,防止黑客继续撞库。明文报错用户密码用户登录系统流程Created with Raphaël 2.1.0开始输入用户名密码系统比对?结束登录失败yesnono最简单也是最危险的是明文保存用户的密码,拼接sql 语句对比(sql 注入)。
如何安全地存储密码
热门推荐
何海涛的专栏
02-16 1万+
 无论是开发App还是网站,只要有用户登录环节,就会牵涉到如何存储用户的密码的问题。如果采用的存储密码的技术不够安全,旦黑客闯入存储密码的数据库,他就能获取用户的密码从而可能给用户带来重大损失。这种情形任何公司都不希望发生在自己身上,因此选择安全地存储密码的策略显得十分必要。 不定非要自己存储用户的密码 最简单的存储密码的方式就是自己并不存储,而是委托给信任的第三方存储
如何加密传输存储用户密码
weixin_34248705的博客
05-11 583
为什么写这篇文章 近期,Github被爆出,在内部日志中记录了明文密码。 虽然据说影响面很小,但是网络和数据安全问题又次被放到台面上。大多数用户的常用密码就那么几个,旦被黑客拿到,去其他网站“撞库”,可能会造成用户的财产损失。 本篇文章主要介绍如何加密传输存储用户密码,并讲解相关原理。 加密传输 加密主要有两种方式:对称加密和非对称加密。 对称加密 对称加密:在加密和解密时使用的是同个秘...
密码学基础安全机制概览
"基本安全机制-密码概述" 在信息技术领域,密码学是保障信息安全的重要基石,它涉及系列用于保护数据安全的技术和方法。本课程将深入探讨密码学的基础概念和应用,包括加密、数字签名、访问控制、数据完整性、...
大数据新视界 -- 大数据大厂之 Hive 数据压缩:优化存储传输的关键(上)(19/ 30)
【青云交】华为云云享专家 | 阿里云开发者社区专家博主 技术圈个人影响力前 17 | 博客之星 TOP23 优快云 首位四榜(原力榜 / 作者周榜 / 领军人物 / 综合热榜)榜首,破平台纪录! 苏州地区全榜霸榜,感恩全网十多万粉丝同行!
11-30 3606
本文承前启后,聚焦 Hive 数据压缩,深挖压缩算法(原理、Hive 支持算法及选策),详呈表分区压缩实战、细究查询性能平衡,佐以多行业案例,具实操价值,设互动引下篇,助优化存储传输
关于密码保存的些事
2301_77088384的博客
01-18 1371
登录功能是绝大部分系统都绕不过去的个问题,而只要涉及到登录就会涉及到经典的用户名密码登录场景。系统登录作为用户使用系统功能的第道校验,用户需要输入正确的用户名密码才能被允许访问系统,系统除了是登录的校验方,般来说也自然承担着用户名、密码数据的保存任务。本文会对常见的密码保存方式进行介绍,总结比较推荐的密码加密方式,并针对密码加密的常见问题进行解释,希望对各位读者有所帮助。
密码保存器(不带后门 数据本地保存)
05-05
用于保存密码 可使用ILSpy反编译
不错的密码保存方式
幽靈齋
01-17 160
对用户的口令进行Hash,并使用salt,以防止Rainbow 攻击(Hash算法可用MD5或SHA1等,对口令使用salt的意思是,user 在设定密码时,system 产生另外个random string(salt)。在datbase 存的​​是salt + passwd 产的md5sum 及salt。 当要验证密码时就把user 输入的string 加上使用者的salt,产生md5s​​...
密码传输问题
hjwang1的专栏
01-06 1067
转自:http://zhuoqiang.me/a/password-transport 般在线系统,密码传输要经过下面几个步骤: 用户在网络浏览器上输入原始密码:人 ——> 键盘 ——> 浏览器内存 原始密码定的转换:内存中的原始密码 ——> 内存中的转换后的密码 转换后的密码在线上传输:内存中转换后的密码 ——> 网络 ——> 系统nnn
用户密码存储方式
Anna的专栏
08-07 2989
在实际的应用中,会把用户密码以明文的方式存储在数据库中,这样是不安全, 容易被黑客攻击,从而造成密码泄露。所以密码需要经过加密后保存。种有效的办法是保存密码的MD5只要,由于相等的两个字符串摘要值也是相等的,在登录验证是,通过比较摘要的方式就可以判断用户输入的密码是否正确。 由于不能通过密码摘要反推出原密码,即使是内部人员也无法知道用户密码, 所以摘要存储方式已经成为大部分密码存储的通用方
密码存储方案
samtrue的博客
05-08 1608
为何不能明文存储密码 明文存储, 会面临多方面的安全威胁, 很难保证密码不被泄露. 密文存储的话, 即时被拖库, 黑客也难以获取用户的明文密码. 为何不能用AES之类的加密算法 这涉及到怎么保存用来加密解密的密钥,虽然密钥般跟用户信息分开存储,且业界也有些成熟的、基于软件或硬件的密钥存储方案。但跟用户信息的保存样,想要密钥百分百不泄露,不可能做到。用这种方式加密密码,能够降低黑客获取明...
加密储存 --- 密码保存那些事
kewei168的博客
05-24 1128
加密储存 — 密码保存那些事 文章目录加密储存 --- 密码保存那些事方案:明文储存方案二:Hash方案三:Hash + Salt终极方案:Hash + Salt + Iteration count常见攻击种类 讲完加密通信,再来说说加密保存,这两者最大的个区别就是对时效的要求,加密通信会对延迟有比较高的要求,但是储存相对来说就会宽松很多(用户并不会特别在意加密个文件花费了1秒钟);还有个区别就是,保存有时候只需要单向性,比如保存密码,我们只需要保存加密后的值,永远不需要保存密码原文(验证的时候只需
密码存储的三种方法
追风
06-19 5525
      保存密码的方法基本有三种,各种方法在安全性以及开发人员、管理员和用户易用性之间有着不同的均衡:      1.对于开发人员和管理者来说,最简单的方法是把密码以普通文本的方式保存在数据库字段中。这对用户也是很方便的,因为当用户遗失密码时可以交密码通过E-mail发送给用户。然而这种方法的安全性最低,因为所有的密码保存为普通文本,如果数据库受到黑客攻击,黑客很容易获得每个用户的密码。因
密码保存及分享方案
zzy287dy的专栏
10-18 889
密码保存及分享方案
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值