加盐Hash与密码扩展

最新推荐文章于 2025-05-19 16:30:41 发布
最新推荐文章于 2025-05-19 16:30:41 发布
阅读量1.7k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 密码 hash 安全 数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/rongbino/article/details/52819981
本文探讨了在保护用户密码安全方面,加盐Hash和密码扩展的重要作用。通过加盐Hash,可以增加攻击者反推原始密码的难度,而密码扩展如bcrypt则进一步提升安全性。在认证过程中,服务器使用独立生成的Salt,确保即使数据被拖库,攻击者也无法轻易伪造登录请求。此外,文章还提出了如何快速检测拖库攻击的方法,包括设置账号数据表陷阱和数据值陷阱。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

保护一个网站的安全,是多方面的努力,如何保障数据不被拖库,这里就不讲了。
首先来说说密码加密,现在很少有系统会直接保存用户的密码了。至少也应该是计算密码的MD5/SHA哈希后保存。这种不可逆的加密方法理论上已经很安全了,但是随着彩虹的出现,GPU并行计算能力的不断提升,使得大量长度不够的密码可以直接从彩虹表反推出来。

安全的终极目的:

即使在数据被拖库,代码被泄露,请求被劫持的情况下,也能保证用户的密码不被泄露。
具体来说,我们的心中的安全系统大概是这样的:
1. 首先保障数据很难被拖库。
2. 即使数据被拖库,攻击者也无法从中破解出用户的密码。
3. 即使数据被拖库,攻击者也无法伪造登录请求通过验证。
4. 即使数据被拖库,攻击者劫持了用户的请求数据,也无法破解出用户的密码。

加盐Hash的应用

只对密码进行哈希运算时肯定的不够,这样程序员想出了一个办法,即使用户的密码很短,只要我在他的短密码后面加上一段很长的字符,在进行HASH运算,那么反推出原始密码就非常困难了。加上的这段长字符,我们称为盐(Salt),通过这种方式加密后,我们称为加盐Hash,例如:

SHA512(SHA512(Password)+ Salt)

通过以上加盐运算,即使攻击者拿到最终结果,也很难反推出原始的密码。不能反推,但是可以正推,假设攻击者将Salt值也拿到了,那么他可以枚举密码,加盐Salt哈希,计算出一个结果对照表,从而破解出简单密码,为了增加攻击者的成本,我们可以采用密码扩展。

密码扩展

为了增加攻击者的成本,我们采用密码扩展,使用加盐的慢Hash。慢Hash是指执行这个Hash函数非常慢,这样暴力破解就需要花上非常非常长的时间。
比如:bcrypt就是这样一个慢哈希函数:

bcrypt(SHA512(password),salt,cost)

最低0.47元/天 解锁文章

200万优质内容无限畅学
戎滨
关注
hash算法概念和hash加盐
社区之星的专栏
12-15 3471
hash算法简单介绍,以及hash加盐法的简单介绍
加盐hash保存密码的正确方式
lxf0613050210的博客
01-31 606
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发 生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码 hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很多
如何安全的存储用户的密码【摘】
weixin_33971130的博客
03-17 792
2019独角兽企业重金招聘Python工程师标准>>> ...
解释加密中的加盐操作
最新发布
weixin_42930616的博客
05-19 681
加盐是指在密码哈希之前,添加一个随机生成的字符串(盐),以增加哈希结果的独特性。目的是为了防止彩虹表攻击,并确保即使两个用户使用了相同的密码,它们的哈希结果也会不同。最佳实践是使用如BCrypt、Argon2等内置加盐机制的强哈希算法,而不是自己手动实现加盐和哈希逻辑。这些算法不仅自带加盐功能,还设计有工作因子(cost factor),可以根据硬件性能调整计算复杂度,进一步提高安全性。
加盐哈希
hhh
09-02 7154
我们知道,系统保存用户的密码时,一般不会直接保存下密码,而是通过md5加密后保存; md5加密原理:Orz md5已经是一种十分安全的加密方法了,但是通过彩虹表依旧可以破解(彩虹表原理),那么我们伟大机智的程序员们就想出了在密码后加一段序列然后再md5加密的方法,这个后面加上的序列就是所谓的 “ 盐 ” 。  具体的流程是:     用户注册时:     1、用户在网站注册时提供ID口...
如何安全存储口令?了解下Hash加盐的原理
weixin_34214500的博客
01-30 843
最近要开发一个项目,其中涉及到了用户口令存储(大家习惯称之为密码),毫不夸张的说,如果方案设计的不合格,未来再想补救就会困难重重。 以前研究了很多密码学算法,和口令加密有关的算法也有很多,参考了很多资料,最近又温习了这些资料,感觉理解的更透彻了,为了把口令加密的事情说清楚,打算写4-5篇文章。 首先,口令加密是非常系统化的一个工程,涉及到多方面,比如代码...
create-hash:小型NPM程序包,用于创建加盐散列
04-27
"create-hash"是一个小型的NPM(Node Package Manager)程序包,它专门设计用于创建加盐散列,这是一种强化密码存储的安全技术。这个包的核心功能是对用户输入的数据进行加盐处理后,再进行哈希运算,从而提高数据的...
实验吧Web-中-让我进去(Hash长度扩展攻击、加盐密码及Linux下hashpump的安装使用)
Sea_Sand息禅
12-18 1789
打开网页,测试开始,注入费老大劲,看了大佬的blog才知道怎么干。 bp抓包,观察发现cookie中有个source=0,在repeater中修改为source=1,然go一下,出来了一段源代码。 $flag = "XXXXXXXXXXXXXXXXXXXXXXX"; $secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters lo...
哈希加盐作为密钥的意义
jason_cuijiahui的博客
04-11 1万+
主要为了防止黑客利用用户常用密码库进行碰撞,加盐后黑客就无法通过此方法碰撞。 参考自 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。 解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(Hash Funct...
关于密码的加密数据存储--正确使用加盐密码哈希
Jack__iT的博客
06-19 4324
为什么密码需要进行哈希? hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824 hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366 hash("waltz") = c0e81794...
pypass:具有SHA-512哈希和加盐以及AES加密的命令行密码管理器
02-13
PyPass PyPass是一个命令行密码管理器。 首次运行应用程序时,将使用您创建的主密码来解锁PyPass保险库。 您的主密码被散列并使用SHA-512加密。 您添加到PyPass保管库中的密码存储在sqlite3数据库中,每个密码均使用AES加密进行加密。 演示版 PyPass演示正在运行 先决条件 PyPass需要Python 3和pip3。 有关安装和说明链接。 您可以使用以下命令在终端中检查Python 3和pip3的版本 $ python3 --version $ pip3 --version 入门 在终端中,创建并导航到要将PyPass安装到的目录。 $ mkdir pypass $ cd ~/pypass 安装PyPass $ git clone https://github.com/oscar-lauth/pypass.git 设置venv 建议在虚拟环境中安
Salted hash password
weixin_33834075的博客
02-10 161
参考文档 http://www.cnblogs.com/richardlee/articles/2511321.html https://en.wikipedia.org/wiki/Salt_%28cryptography%29 https://www.91ri.org/7593.html   密码存储为什么不能是明文? 当账户密码是明文存储的话, 万一本网站给黑客攻破获取了数据, 则...
哈希加盐算法
winnieFighting
11-15 1409
在面对这个网络世界的时候,密码安全总是各个公司和用户都非常关心的一个内容,毕竟现在大家不管是休闲娱乐还是学习购物都是通过网上的帐号来进行消费的,所以我们通常会给用户的密码进行加密。在加密的时候,经常会听到“加盐”这个词,这是什么意思呢?我们通常会将用户的密码进行 Hash 加密,如果不加盐,即使是两层的 md5 都有可能通过彩虹表的方式进行破译。彩虹表就是在网上搜集的各种字符组合的 Hash 加密结果。而加盐,就是人为的通过一组随机字符用户原密码的组合形成一个新的字符,从而增加破译的难度。
哈希加盐法(HASH+SALT)
热门推荐
蒟蒻升级中...Orz
05-30 2万+
一些网站的数据库管理着用户的ID及口令,口令以MD5等加密后的
加盐hash保存密码的正确方式(上)
LVXIANGAN的专栏
10-17 6838
0x00 背景 大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情,但是很
加盐hash的正确使用
MInNrz的Love&Share
08-30 306
这篇文章写了很多关于密码加密的方法,值得一看 参考博客 https://www.cnblogs.com/walkerwang/p/3612110.html
密码加密:哈希(hash加盐
遇见编程
08-26 2165
密码落地要加密 可以采用md5进行加密 数据泄露后md5数据容易暴力破解 可以对密码进行加盐(系统给用户密码拼接上其他字符串)增加破解难度 对每个账号添加不同的盐,能够提高安全性 每个账号的盐不同,则盐也要存储在数据库中,有可能密码一同被攻陷 可以利用账号的某些固定信息(例如用户ID),在程序中通过某种算法生成盐 如果固定信息比较少,也可以存储一个随机字符串,将这个字符串也加入盐的生成函数中 ...
hash加盐安全
小飘的专栏
02-20 1321
密码存储形式有三种:明文、加密、哈希值。 明文肯定是不可取的;加密的优点是可以还原密码,缺点是不如哈希值安全。所以我们一般用哈希值存储密码,常用的计算哈希值的方法是 MD5 和 SHA-1,本文以 MD5 为例。 为哈希值增加一个随机盐可以增加密码安全性。 增加简单密码安全性 假设用户的密码是 1,那么 MD5 值就是:c4ca4238a0b923820dcc509a6f75849
tomcat 加密盐
12-27
#### 自定义 Realm 进行加盐摘要运算 Tomcat 提供了灵活的安全机制允许开发者自定义身份验证领域(Realm)。通过继承 `org.apache.catalina.realm.RealmBase` 类可构建自己的 realm 实现方案。在此基础上能够轻松...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值