文档章节

md5密码加盐

杭州_周陶忠
 杭州_周陶忠
发布于 2013/09/10 21:15
字数 1370
阅读 374
收藏 2

http://www.blogjava.net/heyang/archive/2010/11/28/339233.html

按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。 如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护

直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图:

(图片不能显示就文字说明一下) 例如:两个人或多个人的密码相同,通过md5加密后保存会得到相同的结果。破一个就可以破一片的密码。



如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。

那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。下面请见代码:

//   对密码进行加盐后加密,加密后再通过Hibernate往数据库里存  String changedPswd=DigestUtils.md5Hex(name+pswd);

就是这样简单,上面代码中盐就是用户名,可以的话还可以用用户注册时的邮件,注册时间等非空信息(如果是空信息这个加盐处理会失效)。

下面是数据库中两个用户的记录,他们的实际登录密码都是123456,但光看用户记录是完全看不出来的。这下别有用心的人打开数据库看到的密码都完全不一样,他以前的手段就失效了。

因为密码是md5处理的密码加用户名,因为用户名都不相同,所以即使密码相同的用户,保存到数据库中密码也是不同的。

加盐就是这样简单,感谢您看到这里。


现在的MD5密码数据库的数据量已经非常庞大了,大部分常用密码都可以通过MD5摘要反向查询到密码明文。为了防止内部人员(能够接触到数据库或者数据库备份文件的人员)和外部入侵者通过MD5反查密码明文,更好地保护用户的密码和个人帐户安全(一个用户可能会在多个系统中使用同样的密码,因此涉及到用户在其他网站和系统中的数据安全),需要对MD5摘要结果掺入其他信息,称之为加盐。 

加盐的算法有很多,考虑到加盐的目的(防止拥有系统底层权限的人员),想做到绝对不可反查是很困难的,需要有其他软件或者硬件的协助,在很多场景下的实用性比较差。如果只是想增加反查的难度,倒是有很多方法可以选择,一种便利的方法是md5(Password+UserName),即将用户名和密码字符串相加再MD5,这样的MD5摘要基本上不可反查。但有时候用户名可能会发生变化,发生变化后密码即不可用了(验证密码实际上就是再次计算摘要的过程)。 

因此我们做了一个非常简单的算法,每次保存密码到数据库时,都生成一个随机16位数字,将这16位数字和密码相加再求MD5摘要,然后在摘要中再将这16位数字按规则掺入形成一个48位的字符串。在验证密码时再从48位字符串中按规则提取16位数字,和用户输入的密码相加再MD5。按照这种方法形成的结果肯定是不可直接反查的,且同一个密码每次保存时形成的摘要也都是不同的。如以下代码所示: 

Java代码  
  1. package com.zving.framework.security;  
  2.   
  3. import java.security.MessageDigest;  
  4. import java.util.Random;  
  5.   
  6. import org.apache.commons.codec.binary.Hex;  
  7.   
  8. /** 
  9.  * @author wyuch 
  10.  * @email wyuch@zving.com 
  11.  * @date 2011-12-31 
  12.  */  
  13. public class PasswordUtil {  
  14.     /** 
  15.      * 生成含有随机盐的密码 
  16.      */  
  17.     public static String generate(String password) {  
  18.         Random r = new Random();  
  19.         StringBuilder sb = new StringBuilder(16);  
  20.         sb.append(r.nextInt(99999999)).append(r.nextInt(99999999));  
  21.         int len = sb.length();  
  22.         if (len < 16) {  
  23.             for (int i = 0; i < 16 - len; i++) {  
  24.                 sb.append("0");  
  25.             }  
  26.         }  
  27.         String salt = sb.toString();  
  28.         password = md5Hex(password + salt);  
  29.         char[] cs = new char[48];  
  30.         for (int i = 0; i < 48; i += 3) {  
  31.             cs[i] = password.charAt(i / 3 * 2);  
  32.             char c = salt.charAt(i / 3);  
  33.             cs[i + 1] = c;  
  34.             cs[i + 2] = password.charAt(i / 3 * 2 + 1);  
  35.         }  
  36.         return new String(cs);  
  37.     }  
  38.   
  39.     /** 
  40.      * 校验密码是否正确 
  41.      */  
  42.     public static boolean verify(String password, String md5) {  
  43.         char[] cs1 = new char[32];  
  44.         char[] cs2 = new char[16];  
  45.         for (int i = 0; i < 48; i += 3) {  
  46.             cs1[i / 3 * 2] = md5.charAt(i);  
  47.             cs1[i / 3 * 2 + 1] = md5.charAt(i + 2);  
  48.             cs2[i / 3] = md5.charAt(i + 1);  
  49.         }  
  50.         String salt = new String(cs2);  
  51.         return md5Hex(password + salt).equals(new String(cs1));  
  52.     }  
  53.   
  54.     /** 
  55.      * 获取十六进制字符串形式的MD5摘要 
  56.      */  
  57.     public static String md5Hex(String src) {  
  58.         try {  
  59.             MessageDigest md5 = MessageDigest.getInstance("MD5");  
  60.             byte[] bs = md5.digest(src.getBytes());  
  61.             return new String(new Hex().encode(bs));  
  62.         } catch (Exception e) {  
  63.             return null;  
  64.         }  
  65.     }  
  66.   
  67.     public static void main(String[] args) {  
  68.         String password = generate("admin");  
  69.         System.out.println(verify("admin", password));  
  70.     }  
  71. }  



本文转载自:

杭州_周陶忠
粉丝 9
博文 32
码字总数 66340
作品 0
杭州
高级程序员
私信 提问
浅谈MD5加密算法中的加盐值(SALT)

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。   加Salt可以一定程度上解决这一问题。所谓...

wsj234
2014/06/15
0
0
如何安全的存储密码 - hash、salt 以及更多

最近爆出的网站安全问题越来越多,甚至有部分网站的密码泄露,这是一篇简单的教程,教你如何更加安全的保存密码。我这里说的“安全”是指当密码泄露以后,对方需要相当一段时间来破解以获得明...

虫虫
2012/06/11
5.5K
10
psql登录postgresql数据库的认证过程(md5为例)

前言 psql登录数据时有那么几种认证方式:信任认证(trust), 口令认证(password、md5), 身份认证(ident)等。 出于安全考虑一般会选择口令认证,但password是以明文传送的,所以说md5要相对更安...

tbing
2016/09/07
78
0
哈希加密的正确姿势——如何科学加盐

本文地址:https://www.jianshu.com/p/cc2468b82e90 大家都知道,不管什么系统,只要有用户登录模块的,必然在系统数据库中会存有用户的用户名和密码。用户名明文存储完全没有问题,这里我们...

程序员Sunny
2018/05/29
0
0
HTTP协议下保证密码不被获取更健壮方式

说到在http协议下用户登录如何保证密码安全这个问题: 小白可能第一想法就是,用户在登录页面输入密码进行登录时,前台页面对用户输入的密码进行加密,然后把加密后的密码作为http请求参数通...

刘洋intsmaze
2016/10/28
0
0

没有更多内容

加载失败,请刷新页面

加载更多

掌握生成对抗网络(GANs),召唤专属二次元老婆(老公)不是梦

全文共6706字,预计学习时长12分钟或更长 近日,《狮子王》热映,其逼真的外形,几乎可以以假乱真,让观众不禁大呼:awsl,这也太真实了吧! 实体模型、CGI动画、实景拍摄、VR等技术娴熟运用...

读芯术
31分钟前
1
0
C#经典面试题100道

1. .NET和C#有什么区别 答:.NET一般指 .NET FrameWork框架,它是一种平台,一种技术。 C#是一种编程语言,可以基于.NET平台的应用。 2.一列数的规则如下: 1、1、2、3、5、8、13、21、34......

元歌
34分钟前
0
0
重磅!容器集群监控利器 阿里云Prometheus 正式免费公测

Prometheus 作为容器生态下集群监控的首选方案,是一套开源的系统监控报警框架。它启发于 Google 的 borgmon 监控系统,并于 2015 年正式发布。2016 年,Prometheus 正式加入 Cloud Native C...

阿里云云栖社区
36分钟前
1
0
LeetCode 160: 相交链表 Intersection of Two Linked Lists

爱写Bug(ID:iCodeBugs) 编写一个程序,找到两个单链表相交的起始节点。 Write a program to find the node at which the intersection of two singly linked lists begins. 如下面的两个链...

iCodeBugs
38分钟前
2
0
hadoop yarn漏洞 8088端口进入挖矿病毒处理记录

早上发现服务器cpu使用异常 进程如图所示 按照挖矿病毒的套路 肯定是定时任务不停地执行脚本 遂查看定时任务 进入/var/spool/cron 查看定时任务 发现里面有一个root文件 定时任务每分钟执行一...

詹姆斯-高斯林
41分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部