2020-03-11 21:06:25

正确的加密存储密码防止被拖库(脱裤)保护用户登录安全


正确的加密存储密码防止被拖库(脱裤)保护用户登录安全

在日常的开发中对密码的处理一般只是简单的做一下MD5,甚至有的系统直接存储用户的明文密码,如果一旦被黑客拖库,整个数据库被下载走,那黑客可以登录任意一个账户做出危险的操作,甚至无法弥补的事故,所以要正确的加密密码,保护用户账户的安全。

不加密或简单加密的设想

假如,我们将用户的密码不做加密或者简单的MD5存储在数据库中,有个黑客找到了导出数据库的漏洞,将整个数据库用户表导出下载,造成了拖库事故;MD5虽然不可逆,但是利用彩虹表就可以快速的查出明文密码,那么这个黑客可以登录任意用户的账户,甚至是管理员的账户,进行转账、篡改等进一步危险的动作,我们的损失将会进一步扩大。

如何阻止黑客获得账户明文密码

首先,任何算法都可以被破解,只是所需时间不同,我们只要让破解时间尽可能的长,使黑客放弃破解即可,有的同学可能知道在密码加密时可以采取加盐的方式,加盐就是在原有明文密码的基础上,添加一点“佐料”就是盐,其实就是增加一个随机字符串,使得普通有规律的明文密码变成完全随机无规律的密码,这样可以降低被彩虹表查到的可能,但是随着是计算机性能的提升,各大云计算随时可以申请和释放的计算能力,加盐以后我们还要进行迭代,例如MD5(MD5("password")),将计算结果多次加密。

快速实现

为了更方便实现密码的加盐和加密迭代,我已经把密码加密的代码收录到我自己的开发包中,如果你使用的是Java,Maven构建的项目,可以编辑pom.xml文件,添加以下依赖:

<dependency>
    <groupId>net.renfei</groupId>
    <artifactId>sdk</artifactId>
    <version>0.0.2</version>
</dependency>

使用案例:

package net.renfei.sdk.test.utils;

import net.renfei.sdk.utils.PasswordUtils;
import org.junit.Assert;
import org.junit.Test;

public class PasswordUtilsTest {
    @Test
    public void testPassword() throws PasswordUtils.CannotPerformOperationException {
        String password = "MyPassword", correctHash;
        correctHash = PasswordUtils.createHash(password);
        Assert.assertTrue(PasswordUtils.verifyPassword(password, correctHash));
    }
}

在执行PasswordUtils.createHash()方法以后会得到一个加密的密文,格式大概是这样的:“sha1:64000:18:7CBjTHkH09rc2Ug2BgOhSP20n1E1bTxR:OyNxGcEUaR3WjEoCzBehSyKw”,使用冒号分隔,分别的含义是“加密方式:迭代数:哈希长度:盐值:哈希结果”,这串密文就是经过加密的密文,将这个密文存入数据库,用户登录的时候使用PasswordUtils.verifyPassword()对密码进行验证,这样即使数据库被泄露,黑客也很难逆向出明文密码,其实主要是对JDK中javax.crypto.spec.PBEKeySpec的实现。

项目源码:https://github.com/NeilRen/renfei-java-sdk


版权声明:本文为博主「任霏」原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://www.renfei.net/posts/1003344
评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。

本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!


本站有缓存策略,时间约2小时后能看到您的评论。本站使用自动审核机制,如果您的内容包含广告/谩骂/恐怖/暴力/涉政等不和谐内容将无法展示!

关注任霏博客
扫码关注「任霏博客」微信订阅号
微博:任霏博客网
Twitter:@renfeii
Facebook:任霏