正确的加密存储密码防止被拖库（脱裤）保护用户登录安全

在日常的开发中对密码的处理一般只是简单的做一下MD5，甚至有的系统直接存储用户的明文密码，如果一旦被黑客拖库，整个数据库被下载走，那黑客可以登录任意一个账户做出危险的操作，甚至无法弥补的事故，所以要正确的加密密码，保护用户账户的安全。

不加密或简单加密的设想

假如，我们将用户的密码不做加密或者简单的MD5存储在数据库中，有个黑客找到了导出数据库的漏洞，将整个数据库用户表导出下载，造成了拖库事故；MD5虽然不可逆，但是利用彩虹表就可以快速的查出明文密码，那么这个黑客可以登录任意用户的账户，甚至是管理员的账户，进行转账、篡改等进一步危险的动作，我们的损失将会进一步扩大。

如何阻止黑客获得账户明文密码

首先，任何算法都可以被破解，只是所需时间不同，我们只要让破解时间尽可能的长，使黑客放弃破解即可，有的同学可能知道在密码加密时可以采取加盐的方式，加盐就是在原有明文密码的基础上，添加一点“佐料”就是盐，其实就是增加一个随机字符串，使得普通有规律的明文密码变成完全随机无规律的密码，这样可以降低被彩虹表查到的可能，但是随着是计算机性能的提升，各大云计算随时可以申请和释放的计算能力，加盐以后我们还要进行迭代，例如MD5(MD5("password"))，将计算结果多次加密。

快速实现

为了更方便实现密码的加盐和加密迭代，我已经把密码加密的代码收录到我自己的开发包中，如果你使用的是Java，Maven构建的项目，可以编辑pom.xml文件，添加以下依赖：

<dependency>
    <groupId>net.renfei</groupId>
    <artifactId>sdk</artifactId>
    <version>0.0.2</version>
</dependency>

使用案例：

package net.renfei.sdk.test.utils;

import net.renfei.sdk.utils.PasswordUtils;
import org.junit.Assert;
import org.junit.Test;

public class PasswordUtilsTest {
    @Test
    public void testPassword() throws PasswordUtils.CannotPerformOperationException {
        String password = "MyPassword", correctHash;
        correctHash = PasswordUtils.createHash(password);
        Assert.assertTrue(PasswordUtils.verifyPassword(password, correctHash));
    }
}

在执行PasswordUtils.createHash()方法以后会得到一个加密的密文，格式大概是这样的：“sha1:64000:18:7CBjTHkH09rc2Ug2BgOhSP20n1E1bTxR:OyNxGcEUaR3WjEoCzBehSyKw”，使用冒号分隔，分别的含义是“加密方式:迭代数:哈希长度:盐值:哈希结果”，这串密文就是经过加密的密文，将这个密文存入数据库，用户登录的时候使用PasswordUtils.verifyPassword()对密码进行验证，这样即使数据库被泄露，黑客也很难逆向出明文密码，其实主要是对JDK中javax.crypto.spec.PBEKeySpec的实现。

项目源码：https://github.com/NeilRen/renfei-java-sdk