在日常的开发中对密码的处理一般只是简单的做一下MD5,甚至有的系统直接存储用户的明文密码,如果一旦被黑客拖库,整个数据库被下载走,那黑客可以登录任意一个账户做出危险的操作,甚至无法弥补的事故,所以要正确的加密密码,保护用户账户的安全。
假如,我们将用户的密码不做加密或者简单的MD5存储在数据库中,有个黑客找到了导出数据库的漏洞,将整个数据库用户表导出下载,造成了拖库事故;MD5虽然不可逆,但是利用彩虹表就可以快速的查出明文密码,那么这个黑客可以登录任意用户的账户,甚至是管理员的账户,进行转账、篡改等进一步危险的动作,我们的损失将会进一步扩大。
首先,任何算法都可以被破解,只是所需时间不同,我们只要让破解时间尽可能的长,使黑客放弃破解即可,有的同学可能知道在密码加密时可以采取加盐的方式,加盐就是在原有明文密码的基础上,添加一点“佐料”就是盐,其实就是增加一个随机字符串,使得普通有规律的明文密码变成完全随机无规律的密码,这样可以降低被彩虹表查到的可能,但是随着是计算机性能的提升,各大云计算随时可以申请和释放的计算能力,加盐以后我们还要进行迭代,例如MD5(MD5("password")),将计算结果多次加密。
为了更方便实现密码的加盐和加密迭代,我已经把密码加密的代码收录到我自己的开发包中,如果你使用的是Java,Maven构建的项目,可以编辑pom.xml文件,添加以下依赖:
<dependency>
<groupId>net.renfei</groupId>
<artifactId>sdk</artifactId>
<version>0.0.2</version>
</dependency>
使用案例:
package net.renfei.sdk.test.utils;
import net.renfei.sdk.utils.PasswordUtils;
import org.junit.Assert;
import org.junit.Test;
public class PasswordUtilsTest {
@Test
public void testPassword() throws PasswordUtils.CannotPerformOperationException {
String password = "MyPassword", correctHash;
correctHash = PasswordUtils.createHash(password);
Assert.assertTrue(PasswordUtils.verifyPassword(password, correctHash));
}
}
在执行PasswordUtils.createHash()方法以后会得到一个加密的密文,格式大概是这样的:“sha1:64000:18:7CBjTHkH09rc2Ug2BgOhSP20n1E1bTxR:OyNxGcEUaR3WjEoCzBehSyKw”,使用冒号分隔,分别的含义是“加密方式:迭代数:哈希长度:盐值:哈希结果”,这串密文就是经过加密的密文,将这个密文存入数据库,用户登录的时候使用PasswordUtils.verifyPassword()对密码进行验证,这样即使数据库被泄露,黑客也很难逆向出明文密码,其实主要是对JDK中javax.crypto.spec.PBEKeySpec的实现。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003344
本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!
本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!