对称算法和非对称算法,都是可逆算法...
不可逆算法是指那些单向算法,无法从密文获得原始明文,像hash,sha
可逆算法,可以由密文获得明文,分对称算法和非对称算法
对称算法像3Des
非对称算法像RSA,ECC
如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。
加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。
这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。
下面以PHP示例,讲解md5($pass.$salt)加密函数。
<?php
function hash($a) {
$salt =”Random_KUGBJVY”; //定义一个salt值,程序员规定下来的随机字符串
$b=$a.$salt; //把密码和salt连接
$b=md5($b); //执行MD5散列
return $b; //返回散列
}
?>
调用方式:$new_password =hash ($_POST[password]); //这里接受表单提交值,并进行加密
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。
用户注册时,
用户输入【账号】和【密码】(以及其他用户信息);
系统为用户生成【Salt值】;
系统将【Salt值】和【用户密码】连接到一起;
对连接后的值进行散列,得到【Hash值】;
将【Hash值1 】和【Salt值】分别放到数据库中。
用户登录时,
用户输入【账号】和【密码】;
系统通过用户名找到与之对应的【Hash值】和【Salt值】;
系统将【Salt值】和【用户输入的密码】连接到一起;
对连接后的值进行散列,得到【Hash值2 】(注意是即时运算出来的值);
比较【Hash值1 】和【Hash值2 】是否相等,相等则表示密码正确,否则表示密码错误。
程序员会统一使用一个salt值(储存在某个地方),也可以给每个用户都生成私有的salt值(个体更安全)。
总结起来就是,密码=密码+(密码)的方式,这样虽然后台验证增多了一层。但是自然安全多了。
博主,开始时候,写的web应用,数据库中的密码,都是直接保存的。真正的原汁原味,真正的所见即所得。
后来,看了别人的web应用都是MD5加密的,感觉很不错,自己也在应用中加入了MD5加密,貌似“不可逆”的,哈哈,看起来也专业了许多,后来听说优快云用户信息被黑客窃取了,自己也赶紧去换了密码。
今天,无意间看了http://howe.im/(探微·智在未来)的一篇博文《安全密码机制(salt机制)》,才知道了,单纯使用MD5加密,也是不安全的,这里简单说下,所读博文的内容和自己的一点认识吧。
首先,解释下,为什么单纯MD5加密,是不安全的,我们暂且不论MD5是否可以由密文推出明文(有32位密文计算出加密前的密码),也不论用户的密码是否符合很高的安全性(加入大小写字母、数字、特殊字符等),当黑客窃取一个大型网站的数据库信息后,通过MD5加密(而非解密)方法,不断加密一些密码,如123abc,加密后A906449D5769FA7361D7ECC6AA3F6D28,在数据库中搜索,是否存在匹配密文,如果存在,则相应的用户密码就被破解了。不断的穷举密码,加密,匹配。这个速度是很快的,MD5加密很快,数据库匹配可以优化。
然后,说下,博文中介绍的salt机制。
1、用户注册时
用户注册密码A、客户端生成一个随机码B,将两者组合到一起,然后MD5加密为C,将随机码B和加密后的C,两者分开提交到服务器,保存到数据库。
2、用户登录时
用户只需要提交密码,提交到服务器后,将密码和该用户数据库中保存的随机码组合,然后MD5加密,验证即可。
不可逆算法是指那些单向算法,无法从密文获得原始明文,像hash,sha
可逆算法,可以由密文获得明文,分对称算法和非对称算法
对称算法像3Des
非对称算法像RSA,ECC
如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。
加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。
这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。
下面以PHP示例,讲解md5($pass.$salt)加密函数。
<?php
function hash($a) {
$salt =”Random_KUGBJVY”; //定义一个salt值,程序员规定下来的随机字符串
$b=$a.$salt; //把密码和salt连接
$b=md5($b); //执行MD5散列
return $b; //返回散列
}
?>
调用方式:$new_password =hash ($_POST[password]); //这里接受表单提交值,并进行加密
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。
用户注册时,
用户输入【账号】和【密码】(以及其他用户信息);
系统为用户生成【Salt值】;
系统将【Salt值】和【用户密码】连接到一起;
对连接后的值进行散列,得到【Hash值】;
将【Hash值1 】和【Salt值】分别放到数据库中。
用户登录时,
用户输入【账号】和【密码】;
系统通过用户名找到与之对应的【Hash值】和【Salt值】;
系统将【Salt值】和【用户输入的密码】连接到一起;
对连接后的值进行散列,得到【Hash值2 】(注意是即时运算出来的值);
比较【Hash值1 】和【Hash值2 】是否相等,相等则表示密码正确,否则表示密码错误。
程序员会统一使用一个salt值(储存在某个地方),也可以给每个用户都生成私有的salt值(个体更安全)。
总结起来就是,密码=密码+(密码)的方式,这样虽然后台验证增多了一层。但是自然安全多了。
博主,开始时候,写的web应用,数据库中的密码,都是直接保存的。真正的原汁原味,真正的所见即所得。
后来,看了别人的web应用都是MD5加密的,感觉很不错,自己也在应用中加入了MD5加密,貌似“不可逆”的,哈哈,看起来也专业了许多,后来听说优快云用户信息被黑客窃取了,自己也赶紧去换了密码。
今天,无意间看了http://howe.im/(探微·智在未来)的一篇博文《安全密码机制(salt机制)》,才知道了,单纯使用MD5加密,也是不安全的,这里简单说下,所读博文的内容和自己的一点认识吧。
首先,解释下,为什么单纯MD5加密,是不安全的,我们暂且不论MD5是否可以由密文推出明文(有32位密文计算出加密前的密码),也不论用户的密码是否符合很高的安全性(加入大小写字母、数字、特殊字符等),当黑客窃取一个大型网站的数据库信息后,通过MD5加密(而非解密)方法,不断加密一些密码,如123abc,加密后A906449D5769FA7361D7ECC6AA3F6D28,在数据库中搜索,是否存在匹配密文,如果存在,则相应的用户密码就被破解了。不断的穷举密码,加密,匹配。这个速度是很快的,MD5加密很快,数据库匹配可以优化。
然后,说下,博文中介绍的salt机制。
1、用户注册时
用户注册密码A、客户端生成一个随机码B,将两者组合到一起,然后MD5加密为C,将随机码B和加密后的C,两者分开提交到服务器,保存到数据库。
2、用户登录时
用户只需要提交密码,提交到服务器后,将密码和该用户数据库中保存的随机码组合,然后MD5加密,验证即可。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
