正确的加密存储密码防止被拖库(脱裤)保护用户登录安全
在日常的开发中对密码的处理一般只是简单的做一下MD5,甚至有的系统直接存储用户的明文密码,如果一旦被黑客拖库,整个数据库被下载走,那黑客可以登录任意一个账户做出危险的操作,甚至无法弥补的事故,所以要正确的加密密码,保护用户账户的安全。
不加密或简单加密的设想
假如,我们将用户的密码不做加密或者简单的MD5存储在数据库中,有个黑客找到了导出数据库的漏洞,将整个数据库用户表导出下载,造成了拖库事故;MD5虽然不可逆,但是利用彩虹表就可以快速的查出明文密码,那么这个黑客可以登录任意用户的账户,甚至是管理员的账户,进行转账、篡改等进一步危险的动作,我们的损失将会进一步扩大。
如何阻止黑客获得账户明文密码
首先,任何算法都可以被破解,只是所需时间不同,我们只要让破解时间尽可能的长,使黑客放弃破解即可,有的同学可能知道在密码加密时可以采取加盐的方式,加盐就是在原有明文密码的基础上,添加一点“佐料”就是盐,其实就是增加一个随机字符串,使得普通有规律的明文密码变成完全随机无规律的密码,这样可以降低被彩虹表查到的可能,但是随着是计算机性能的提升,各大云计算随时可以申请和释放的计算能力,加盐以后我们还要进行迭代,例如MD5(MD5("password")),将计算结果多次加密。
快速实现
为了更方便实现密码的加盐和加密迭代,我已经把密码加密的代码收录到我自己的开发包中,如果你使用的是Java,Maven构建的项目,可以编辑pom.xml文件,添加以下依赖:
<dependency>
<groupId>net.renfei</groupId>
<artifactId>sdk</artifactId>
<version>0.0.2</version>
</dependency>
使用案例:
package net.renfei.sdk.test.utils;
import net.renfei.sdk.utils.PasswordUtils;
import org.junit.Assert;
import org.junit.Test;
public class PasswordUtilsTest {
@Test
public void testPassword() throws PasswordUtils.CannotPerformOperationException {
String password = "MyPassword", correctHash;
correctHash = PasswordUtils.createHash(password);
Assert.assertTrue(PasswordUtils.verifyPassword(password, correctHash));
}
}
在执行PasswordUtils.createHash()方法以后会得到一个加密的密文,格式大概是这样的:“sha1:64000:18:7CBjTHkH09rc2Ug2BgOhSP20n1E1bTxR:OyNxGcEUaR3WjEoCzBehSyKw”,使用冒号分隔,分别的含义是“加密方式:迭代数:哈希长度:盐值:哈希结果”,这串密文就是经过加密的密文,将这个密文存入数据库,用户登录的时候使用PasswordUtils.verifyPassword()对密码进行验证,这样即使数据库被泄露,黑客也很难逆向出明文密码,其实主要是对JDK中javax.crypto.spec.PBEKeySpec的实现。
商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号- 你写得非常清晰明了,让我很容易理解你的观点。
- 感谢分享!拿走了~
- 您是说 UCClient 类接收来自Discuz的UCenter的消息吧,请求是来自 Discuz 的 UCenter吗?code 为 null 说明请求URL地址中没有 code 参数 (?code=xxx) ,确定是 UCenter 发起的请求吗?
- String code = request.getParameter("code"); code一直是null 这是为什么啊
- 你好,我想问一下如果是分析型的数据库要怎么制作docker镜像呢 是修改V008R003C002B0320版本号吗
- 可以的,我也正在开发分享的程序,可以邮件或群联系我都可以,关于页面里有联系方式:https://www.renfei.net/page/about 。
- 有破解软件的需要可以私下联系您吗?
- 您好,手机APP只是个客户端,用于数据呈现展示,数据均保存在服务器上,只留个APP没有任何用处,无能为力哦。
- 老哥 看你弄了这么多软件好厉害啊。 我有个软件 我买过几个小会员 没用几天 然后商家跑路了,软件服务器关闭了,连不上去 用不了。 你能做成一个打补丁版本可以本地用的么? 方便看下么?https://haodezhe.lanzouw.com/iD0f30h9joza 谢谢老哥!
- 您好,由于版权投诉和我国知识产权法的完善,我已经下架所有破解软件的下载链接了。
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)
- ChatGPT 开发商 OpenAI 买下极品域名 AI.com
- 火爆的 AI 人工智能 ChatGPT 国内注册教程、使用方式和收费标准
- 解决 SpringCloud 中 bootstrap.yml 不识别 @activatedProperties@ 参数
- Cron表达式书写教程搞定Linux、Spring、Quartz的定时任务
- 阿里云香港可用区C发生史诗级故障