salt值(盐值)

原创 已于 2024-06-05 15:03:31 修改 · 2.7k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2023-07-17 23:30:00 首次发布
文章讲述了SALT值在密码保护中的重要性,它是用来增强密码哈希安全性的一种方法。当用户注册时,系统生成随机的SALT值与密码结合,增加密码的复杂性,使相同的密码加密后得到不同的密文,提高黑客破解的难度。在密码校验时,系统会使用相同的SALT值再次加密,对比密文以验证密码的正确性。盐值应使用安全随机数生成且不应固定,以增强安全性。

SALT值属于随机值。用户注册时,系统用来和用户密码进行组合而生成的随机数值,称作salt值,通称为加盐值。

1、背景:系统通常把用户的密码如MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。

2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。

3、原理:为用户密码添加Salt值,使得加密的得到的密文更加冷僻,不宜查询。即使黑客有密文查询到的值,也是加了salt值的密码,而非用户设置的密码。salt值是随机生成的一组字符串,可以包括随机的大小写字母、数字、字符,位数可以根据要求而不一样。

4、用途:当用户首次提供密码时(通常是注册时),由系统自动添加随机生成的salt值,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的加盐值,然后散列,再比较散列值,已确定密码是否正确。

5、其它:经过添加salt值处理的密码,即使用户设置的原密码是相通的,数据库中的密文却是不同的。

引:

单向散列加密

                               salt

                                |

                                V                

-----明文---->  单向散列算法 ----->密文

为了加强单向散列计算的安全性,会给散列算法加点盐(salt),salt相当于加密的密钥,增加破解的难度。常用的单向散列算法有MD5、SHA等。

单向散列算法还有一个特点就是输入的任何微小变化都会导致输出的完全不同,这个特性有时也会被用来生成信息摘要、计算具有高离散程度的随机数等用途。

关于盐值的理解

密码哈希
  哈希算法任何数量的数据转换为无法反转的固定长度的“指纹”。即使原始输入的数据变化很小,但是其输出的结果相差很大。

     Hash(“hello”)= 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b98

     Hash(“hallo”)= 8756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238ff3f9e94bc3

  使用哈希之后,如何校验用户的用户名密码呢?
    用户创建一个帐户时。输入的密码被散列并存储在数据库中。

    当用户登录时,对其输入的密码散列,对照其实际密码(从数据库检索)。

    如果哈希匹配,则授予用户访问权限。如果不是,则告诉用户他们输入了无效的登录凭

    常用的较为安全的密码哈希算法:SHA256,SHA512,等。

2 破解密码

  因为哈希算法,相同的输入时,会有一个相同的输出值。由此就出现了几种破解方法:

2.1字典和蛮力攻击

  这是最简单的密码猜解方法,对每个值进行哈希,然后与数据库泄露出的密码哈希值进行对比,如果相同,代表着密码被猜解。

  字典攻击:使用的字典一般含单词,词组,常用密码以及其他可能用作密码的字符串。

  蛮力攻击: 尝试所有可能的字符组合。

  虽然如果密码长度够长、复杂度较高,会给破解带来一些难度,但是没有办法完全阻止。

2.2 查找表

    查找表的思路是字典中,首先预置好哈希值。然后将实际密码的哈希值与之搜索对比。这是一种非常有效的方法,可以非常快速地破解许多相同类型的哈希。

  2.3 反向查找表

  这种攻击特别有效,因为许多用户通常使用相同的密码。所以可以对某个字符进行哈希,然后去数据库中进行查询此哈希值映射的用户名。

  例如:

  在用户的哈希列表中搜索哈希(password1)...:匹配[小明,小花,小白]

  在用户的哈希列表中搜索哈希(password2)...:匹配[李明]

3 加盐值

  首先可以通过一个场景了解盐值的作用:

  1、小明要注册某个网站,注册时密码填写为password=123456。

  2、为了保证密码的复杂度,系统可以使用盐值。将小明输入的password和salt一起加密后存储。即最终存储的密码为:PASSWORD=123456+salt

  由于密码是由用户设定的,在实际应用中,用户设置的密码复杂度可能不够高,同时不同的用户极有可能会使用相同的密码,那么这些用户对应的密文也会相同,这样,当存储用户密码的数据库泄露后,攻击者会很容易便能找到相同密码的用户,从而也降低了破解密码的难度,因此,在对用户密码进行加密时,需要考虑对密码进行掩饰,即使是相同的密码,也应该要保存为不同的密文,即使用户输入的是弱密码,也需要考虑进行增强,从而增加密码被攻破的难度,而使用带盐的加密hash值便能满足该需求。

  3.1  加密存储

  输入: 密码字符串passWord

  输出:盐值 salt 、密码密文passWordHash

  可以将salt放到passWord前面作为前缀或放到passWord后面作为后缀得到新的字符串PS,即,PS = password和salt的组合串;

   密码密文passWordHash = Hash加密函数(PS );

3.2 密码校验

  输入: 密码字符串passWord

  输出:密码校验是否成功

  处理:

   1)、取出当前用户密码加密时使用的盐值salt

  2)、得到本次输入的密码passWordCur和盐值salt的组合字符串PS

  3)、得出本次输入密码的密文passWordHashCur= Hash加密函数(PS );

  4)、比较passWordHashCur和用户最初设置的密码密文passWordHash是否一致,如果一致,则校验成功,否则校验失败。

 

3.4 盐值的产生与存储

  盐值应该使用安全随机数生成;不能写死在代码中或者配置文件中、数据库中。而且对盐值的长度也应该有一定的要求,较短的盐值,仍然有被破解的风险。

 

实现Java中的加密算法
TechCraze的博客
08-14 438
将密码和随机生成的结合起来,可以增加密码破解的难度,保护用户的密码安全。通过使用适当的哈希函数和随机,我们可以有效地保护用户密码免受恶意攻击。加密是一种常用的密码存储方法,它通过在密码中添加一个随机生成的,增加了破解密码的难度。在本文中,将介绍如何使用Java实现加密算法。然后,我们将添加到哈希函数中,并将密码转换为字节数组进行加密。该方法使用SHA-256算法对密码和进行加密。首先,我们将转换为字节数组,并使用。类生成一个随机的16字节,并将其转换为十六进制字符串。
Md5+salt实现用户加密
健康平安的活着的专栏
05-29 4694
一.md5 1.1 作用 一般用来进行加密或者签名 特点:md5内容不可逆,相同的内容不论执行多少次,md5加密算法生成的结果都是一致的。 结果:生成的结果是一个32位的16进制字符串。 二 md5+salt salt说白了就是随机的字符串 2.1 md5+salt的使用 注册时md5(输入明文密码+随机字符串)生成加密密码p1,随机字符串r,都存储到数据库中。 登录时通过用户名查询该用户对应的加密密码p1和随机字符串r,按照注册时生成的规则:md5(输入明文密码+随机字符串)=p
密码学中的Salt
2302_79249715的博客
10-04 319
摘要算法(又称哈希函数)是一种单向加密函数,用于将任意长度的输入数据(如消息或文件)转换为固定长度的输出(称为摘要或哈希)。摘要算法时不可逆的(无法解密),通常用来检验数据的完整性。基于上述,我们可以利用MD5来实现对(32位+明文)的加密形成32位密文,这里我们规定存储在数据库中的数据是(32位+32位密文)即+MD5(+明文),从而便于我们实现数据的验证。/*** encrypt* 对密码加密* @return salt + md5(salt + 明文)*/
加密算法
X_H学Java的博客
05-31 3086
本文主要介绍了加加密算法
什么是md5
sanmi8276的博客
12-03 3521
简单说就是为了使相同的密码拥有不同的hash的bai一种手段 就是化,就是在密码hash过程中添加的额外的随机SALT属于随机。用户注册时,系统用来和用户密码进行组合而生成的随机数,称作salt,通称为加。 1、背景:系统通常把用户的密码如MD5加密后,以密文形式保存在数据库中,来防止黑客偷窥。 2、产生:随着对MD5密文查询工具的出现,而很多用户的密码又设置简单,单纯的对用户密码进行MD5加密后保存,用密文很容易就能反查询得到某用户的密码。 3、原理:为用户密码添加Sal
密码学中的“ Salt
xiliang_pan的专栏
04-03 4503
Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的时候,大致是这样的结构: mysql> desc
如何给MD5加上salt随机
10-21
不知道大家知不知道,在开发的时候如果直接给密码散列,黑客可以通过查散列...但如果加上salt后就会难上很多,即便是你获得了其中的salt和最终密文,破解也是相当麻烦的。下面跟着小编通过这篇文章来一起学习学习吧。
salt的加密算法
2303_79299383的博客
07-02 1332
Salt加密算法摘要 Salt)是一种密码增强技术,通过在密码中添加随机字符串再进行加密,提高安全性。其核心原理是: 随机生成:通常使用8位随机字符(如RandomStringUtils生成) 组合加密:将与原始密码拼接后使用MD5等算法加密 防彩虹表攻击:每个用户的唯一,使相同密码产生不同哈希 实现要点: Java中可用RandomStringUtils.randomAlphanumeric(8)生成随机 加密时采用salt+password的组合形式 需同时存储和最终哈希
关于MD5和salt加密后破解方法
热门推荐
Dxiaoqi
01-19 1万+
关于MD5和salt加密后破解方法。注:仅限6位数纯数字破解 亲测可用!!!亲测可用!!!亲测可用!!! waiceng:for(int i=1;i<=9;i++){ String str=""; str=str+i; String strj=""; for(int j=0;j<=9;j++){ strj=str+j; Stri
精选资源
使用密码和salt联合密码加密实现登录注册功能
10-04
本文将深入探讨如何使用密码和salt结合MD5加密来实现这一功能,主要针对Java编程语言,同时也会涉及到数据库和用户界面的设计。 首先,我们要理解什么是salt)。在密码学中,salt是一种随机数据,通常与...
C++实现MD5摘要算法加salt
陌意随影的博客
12-13 4441
C++实现MD5摘要算法加salt 1.信息摘要函数 1.1Hash函数 哈希函数就是能将任意长度的数据映射为固定长度的数据的函数。哈希函数返回的被叫做哈希、哈希码、散列,或者直接叫做哈希。 1.2消息摘要 将长度不固定的消息(message)作为输入参数,运行特定的Hash函数,生成固定长度的输出,这个输出就是Hash,也称为这个消息的消息摘要(Message Digest) 1.3信息摘要算法是hash算法的一种,具有以下特点: ①无论输入的消息有多长,计算出来的消息摘要的长度总是固定的
MD5加密
05-28
MD5加密,可以附带16位、19位、32位随机码做
MD5加密算法中的加(SALT)简单理解
辅导大学生代码设计15年
05-31 2915
在密码学中,加是一个随机生成的数据片段,它与密码结合在一起,然后一起进行哈希处理。当用户登录时,系统会取出存储的加,将其与用户输入的密码结合,然后进行哈希处理,最后将结果与数据库中存储的哈希进行比较,以验证密码的正确性。需要注意的是,尽管加可以提高安全性,但MD5本身已经不再被认为是安全的哈希函数,因为它容易受到多种攻击,如碰撞攻击。MD5是一种广泛使用的加密散列函数,它可以产生一个128位(16字节)的哈希,通常用一个32位的十六进制字符串表示。
浅谈MD5加密算法中的加(SALT)
闪亮伞的博客
07-01 7125
我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列,然后通过查散列字典(例如MD5密码破解网站),得到某用户的密码。加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列,已确定密码是否正确。这里的“佐料”被称作“Salt”,这个是由系统随机生成的,并且只有系统知道。这样,即便
MD5+
XiongChaiJun的博客
12-21 366
1. 加密 import java.util.ArrayList; import java.util.List; import java.util.Random; public class StrUtils { /** * 把逗号分隔的字符串转换字符串数组 * * @param str * @return */ public static String[] splitStr2StrArr(Strin.
已知明文,哈希,算法,求
最新发布
12-12
在已知明文、对应的哈希以及所使用的哈希算法的情况下,求解可通过穷举法来尝试得到。是在哈希运算前添加到明文中以增强安全性的额外信息,哈希过程可表示为 `哈希 = H(明文 || )` ,这里的 `H` 代表所使用的哈希算法。 穷举法的基本思路是尝试所有可能的,然后将其与已知明文拼接,再使用给定的哈希算法进行哈希运算,把运算得到的结果和已知的哈希进行对比。如果两者一致,那么当前尝试的就是正确的。 以下是一个使用 Python 实现的示例代码: ```python import hashlib def find_salt(plaintext, hash_value, algorithm): # 假设是 ASCII 编码,且长度不超过 10 max_salt_length = 10 for length in range(1, max_salt_length + 1): import itertools # 生成所有可能的组合 for salt in itertools.product(range(32, 127), repeat=length): salt_str = ''.join(map(chr, salt)) # 拼接明文和 combined = plaintext + salt_str if algorithm == 'sha256': hash_object = hashlib.sha256(combined.encode()) elif algorithm == 'md5': hash_object = hashlib.md5(combined.encode()) # 可以添加更多的哈希算法 new_hash = hash_object.hexdigest() if new_hash == hash_value: return salt_str return None # 示例使用 plaintext = "example" hash_value = "这里填入实际的哈希" algorithm = "sha256" salt = find_salt(plaintext, hash_value, algorithm) if salt: print(f"找到的是: {salt}") else: print("未找到合适的。") ``` 需要注意的是,此方法的效率较低,尤其是长度较长或者字符集较大时,所需的计算量会非常大。此外,上述代码仅考虑了 ASCII 字符集且长度不超过 10 个字符,如果实际情况不同,需要对代码进行相应调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java小王子呀

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值