MD5+Salt加密
来源:互联网 发布:淘宝联盟认证怎么弄 编辑:程序博客网 时间:2024/06/05 17:25
我们知道,如果直接对密码进行散列,那么黑客(统称那些有能力窃取用户数据并企图得到用户密码的人)可以对一个已知密码进行散列,然后通过对比散列值得到某用户的密码。换句话说,虽然黑客不能取得某特定用户的密码,但他可以知道使用特定密码的用户有哪些。
加Salt可以一定程度上解决这一问题。所谓加Salt,就是加点“佐料”。其基本想法是这样的——当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。
加Salt可以一定程度上解决这一问题。所谓加Salt,就是加点“佐料”。其基本想法是这样的——当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。
这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。
用户注册时:
1)用户提供密码(以及其他用户信息);
2)系统为用户生成Salt值;
3)系统将Salt值和用户密码连接到一起;
4)对连接后的值进行散列,得到Hash值;
5)将Hash值和Salt值分别放到数据库中。
登录时:
1)用户提供用户名和密码;
2)系统通过用户名找到与之对应的Hash值和Salt值;
3)系统将Salt值和用户提供的密码连接到一起;
4)对连接后的值进行散列,得到Hash'(注意有个“撇”);
5)比较Hash和Hash'是否相等,相等则表示密码正确,否则表示密码错误。
阅读全文
0 0
- MD5+Salt加密机制
- MD5+Salt加密
- MD5+salt加密
- MD5+Salt加密
- MD5,salt,SHA,PBKDF2加密
- python----MD5加密,crypt加密加salt
- MD5加密算法(salt盐加密)
- MD5加密算法(salt盐加密)
- Java关于md5+salt盐加密验证
- Java关于md5+salt盐加密验证
- 常规性加密:sha1+MD5+salt
- Python简单密码加密程序,加盐(salt)md5
- SALT 加密
- salt加密
- MD5+Salt安全浅析
- MD5+Salt安全浅析
- golang Md5+salt
- 在spring security3中使用自定义的MD5和salt进行加密
- 基础第一篇之输入流inputstream
- opencv(c++)-图像基本操作
- 面向对象:择一城终老,遇一人白首
- c#学习记录
- ArrayList动态扩容机制
- MD5+Salt加密
- 流程图解Spring Framework(七) Spring 如何创建代理的--jdk?
- 学习就是机会
- 《算法竞赛入门经典(第二版)》学习之路!
- 流程图解Spring Framework(八) Spring 如何创建代理的--cglib?
- 赋值运算符 += 面试题小陷阱
- 基(là)础(jī)线段树详解
- golang Leaf 游戏服务器框架简介
- centos7的防火墙(firewalld)