md5、sha1+salt和Bcrypt对比

最新推荐文章于 2025-07-24 21:36:33 发布
最新推荐文章于 2025-07-24 21:36:33 发布
阅读量7.4k 收藏 10
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Java学习笔记 文章标签: md5 sha1 bcrypt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nnsword/article/details/78191292
本文探讨了MD5、SHA1+Salt与Bcrypt在密码安全方面的优劣。尽管MD5和SHA1+Salt存在被破解的风险,尤其是盐值丢失时,Bcrypt通过增加计算成本提供了更高的安全性。即使Bcrypt盐值丢失,复杂密码的安全性仍远超MD5和SHA1。设计者应权衡安全与性能,用户则应选择复杂且不同的密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

引言

  • 用md5/sha1+salt的方法保存密码是不安全的. 文章中用连续9个Bcrypt加感叹号来强调, 保存密码推荐用Bcrypt.

  • youkuaiyun.com两天前把数据库弄丢了, 里面的密码是明文保存的. 我对密码和安全没有研究, 但是在我粗浅的记忆中, hash+salt是非常主流的方法. 如果说这样也不靠谱, 那我正好借这个机会复习一下.

密码等级

我把密码安全分为两个等级, 黄色和红色. 当数据库丢失后, 能算出一个可以用来登陆的密码, 这个密码不一定是原文, 但是保证可以通过验证, 这个算达到黄色. 如果还能算出原文, 这个就达到了红色.

红色比黄色严重得多. 因为用户往往在多个网站上都使用了同样的密码. 如果攻击者拿到原文, 这等于说多个网站都受到影响了. 如果拿不到原文, 那攻击者最多也就破坏当前这个泄露数据库的网站, 不会影响到其它网站.

在我看来, 很多用户对安全的要求是, 如果我使用的网站A不幸阵亡了, 只要密码原文不泄漏, 就不会伤及我使用同样密码注册的其它网站. 至于在网站A上面的任何损失, 我都不在乎了.

对比

在这个背景下, 我的本能看法是, 用hash+salt难道不能实现上述的要求, 一定要使用Bcrypt吗?

如果仔细分析一下黄色和红色的定义, 会发现一个问题. 对于一个给定的可以用来登陆的密码, 如何判定这个密码就是原文呢? 这里的解决方法通常就是对比字典, 或者观察这个密码的字面特性.

既然牵涉到字典, 情况就更加有趣了. 破解密码的两种方法分别是穷举和字典. 我从wikipedia以及介绍上Bcrypt的资料上了解到, 如果只是穷举, hash+48位的salt算起来已经比较困难了. 文章中说,半分钟可以穷举完所有的6位密码。可以想象,如果加上一个48位的salt, 按照复杂度的增加比例,要穷举完所有可能的密码,至少还是要按月算计算的吧。

在这样的情况下,如果要想得到密码原文,首先需要花大量时间把很多可能的密码都算出来,然后才能挑

最低0.47元/天 解锁文章

200万优质内容无限畅学
关于加密---BCryptMD5
m0_58157267的博客
08-14 2434
两种加密方式
BCryptMD5两种加密算法对比
weixin_52793468的博客
07-03 793
(1)BCrypt加密: 一种加盐的单向Hash,不可逆的加密算法,同一种明文(plaintext),每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。(2)MD5加密: 是不加盐的单向Hash,不可逆的加密算法,同一个密码经过hash的时候生成的是同一个hash值,在大多数的情况下,有些经过md5加密的方法将会被破解。(3)Bcrypt生成的密文是60位的。而MD5的是32位的。(4)目前,MD5BCrypt比较流行。
加密算法-----BCrypt
最新发布
m0_73456341的博客
07-24 723
被广泛应用于存储密码进行身份验证。并且Bcrypt算法包含一个重要特性即每次生成的哈希值都不同,这是由于Bcrypt算法在计算时会先生成一个随机的盐值与用户密码一起参与计算最终得到一个加密后的字符串。由于生成的盐值是随机的,所以即使每次使用相同的密码得到结果也是不同的。这样可以有效的防止攻击者使用一些手段破解用户密码。修改login方法,借助BCryptUtils.matchesPassword()方法,来判断。用户输入密码是否正确。
md5BCrypt加密算法
Chuan123ZJC的博客
08-23 703
文章用于个人学习记录。
BCryptPasswordEncoder 与 MD5 在密码处理上的对比
weixin_63601058的博客
08-12 628
是一种基于 bcrypt 算法的密码编码器。bcrypt 算法是一种自适应的哈希函数,专门为密码存储而设计。它通过引入盐值可调节的计算成本,提供了更高的安全性灵活性。MD5MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希算法,用于生成数据的固定长度摘要。然而,由于其安全性上的缺陷,在密码处理方面已经逐渐被认为不太合适。综上所述,在密码安全性方面远远优于MD5。在现代的应用开发中,为了保障用户密码的安全,应优先选择或其他更先进、安全的密码处理算法
MD5加密算法BCrypt密码加密算法
m0_65100923的博客
02-19 2839
本文对比分析了MD5bcrypt两种常见的密码加密算法MD5由于计算速度快且缺乏足够的安全性,已经逐渐被弃用,尤其在密码存储领域。相对而言,bcrypt算法通过加盐多次迭代机制,显著提高了密码的抗破解能力,适合用于高安全性要求的场景。文章详细探讨了两者的工作原理、优缺点以及实际应用中的安全性表现,以供读者按照需求来使用这两种加密算法
MD5+Salt+SHA1加密:提升密码安全的策略与实现
本文档详细介绍了如何结合MD5SaltSHA1进行密码的加密登陆验证过程。首先,MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,用于生成固定长度的摘要,将任意长度的输入数据压缩为128位(16字节)...
浅谈C#中Md5Sha1两种加密方式
09-03
它定义了一个字符串`s`,然后分别调用`s.Md5()``s.Sha1()`来计算字符串的MD5SHA1散列,并打印出来。可以看到,不论原始字符串是什么,MD5的长度始终为32,而SHA1的长度始终为40。 然而,值得注意的是,MD5SHA...
javascript实现base64 md5 sha1 密码加密
10-23
然而,由于MD5SHA1的安全性问题,现代应用通常会转向更强的加密算法,如SHA256或SHA512,或者使用PBKDF2、bcrypt或scrypt等专门设计用于密码存储的算法。 在实际应用中,JavaScript加密通常用于前端的密码输入...
js实现SHA1MD5加密
11-27
JavaScript是一种广泛用于...在提供的"js实现SHA1MD5加密.txt"文件中,可能包含了如何在JavaScript环境中使用特定库或自定义函数实现SHA1MD5加密的示例代码,这可以帮助开发者快速地在自己的项目中集成这些功能。
密码加密——MD5BCryptPasswordEncoder
zyxzyx666的博客
01-29 2384
MD5讯息摘要演算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码杂凑函数,可以产生出一个128位元(16位元组)的散列值(hash value),用于确保信息传输完整一致。BCryptPasswordEncoder加密BCrypt 是一种密码散列函数,即单向函数。且每次加密过后的值都不一样!
登陆加密MD5+Salt+SHA1附代码
09-11
MD5 的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer ScienceRSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3MD4发展而来。 作用:把一个任意长度的字节串变换成一定长的大整数 SHA安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准(Digital Signature Standard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)。SHA-1是一种数据加密算法,该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。 作用: 对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。 从查表法可以看出,即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?答案是加盐Salt是什么?就是一个随机生成的字符串。我们将盐与原始密码连接(concat)在一起(放在前面或后面都可以),然后将concat后的字符串加密。采用这种方式加密密码,查表法就不灵了(因为盐是随机生成的)。
BCRypt加密
11-03
BCRypt加密,用于用户保存密文密码的加密方式。
常规性加密:sha1+MD5+salt
小下和的博客
12-12 6513
现如今互联网时代,安全问题不容小觑,加密技术屡见不鲜,接下来先简单介绍下sha1MD5加密; MD5 的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer ScienceRSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3MD4发展而来。 作用:把
php中写salt,php – 使用sha1salt存储密码
weixin_42120283的博客
03-11 358
我有一个简单的注册脚本在PHP完成,我只是好奇,如果我这样做的方式足够安全,以存储用户密码.我正在生成一个32位随机盐并将其附加到sha1哈希密码.//create new validator object$validator = new data_validation();//validate user input$firstName = $validator->validate_fnam...
php写一个md5/sha1+salt密码类
lnnu_jxxy的专栏
01-30 328
最近暴露出的明文密码事件,自己以前一直是使用md5直接保存,了解一下暴力破解md5也是很容易攻破,google了一下大家推荐md5/sha1+salt的方式,在保证性能的情况下,安全性也提高了。今晚没事自己写了一个简单的处理类。 [code="java"]...
bcrypt 加密
weixin_34194317的博客
11-18 3829
关于 bcrypt:1、bcrypt是不可逆的加密算法,无法通过解密密文得到明文。2、bcrypt其他对称或非对称加密方式不同的是,不是直接解密得到明文,也不是二次加密比较密文,而是把明文存储的密文一块运算得到另一个密文,如果这两个密文相同则验证成功。综上,Jenkins专有用户数据库使用了jbcrypt加密,jbcrypt加密是不可逆的,而且对于同一个明文的加密结果一般不同...
Java 安全加密算法 - MD5SHA256,SHA512,PBKDF2,BCrypt,SCrypt
开发猫
10-19 8681
Java Secure Hashing - MD5SHA256,SHA512,PBKDF2,BCrypt,SCrypt 深入学习Java Secure Hashing算法。安全密码哈希是施加于用户提供的密码一定的算法操作,其通常非常弱,容易猜测之后获得的字符的加密序列。 Java中有许多这样的哈希算法可以证明对密码安全性非常有效。 请记住,一旦生成此密码哈希并将其存储在数据库中,您...
前端密码加密 —— bcryptMD5SHA-256、盐
热门推荐
技术前端,忠于热爱 @0.活在风浪里
07-24 1万+
bcryptMD5SHA-256、盐
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值