基于盐+Sha算法的安全密码保护机制
2016-01-26 16:11
281 查看
密码通过加盐后,可以增加密码的复杂度,即便最简单的密码,在加盐后,也能变成复杂的字符串,这大大提高了密码破解的难度。但是如果将盐硬编码在程序中或随机一次生成的,每个密码进行hash使用相同的盐会降低系统的防御力,因为相同密码的hash两次后的结果也是一样的。所以比较正确的做法是每次创建用户或修改密码都使用一个新的随机盐。
很多用户可能想到了将用户名作为盐的方案,虽然对于每一个用户来说用户名可能是不同的,但是用户名是可预测的,并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。
我们通常使用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))来生成盐。正如它的名字说明的那样,CSPRNG提供一个高标准的随机数,是完全无法预测的。在Java中,可以使用java.security.SecureRandom生成。
此外,在web应用中,我们要在服务端进行Hash,而不是客户端。因为如果Hash在客户端的话,即便传输的不是明文,如果恶意的黑客获取了用户的Hash,就可以直接登录帐号了。甚至都不需要知道客户的明文密码,也就不需要破解Hash了。我们需要记得客户端Hash并不是HTTPS的替代品。
本文出自 “这个人的IT世界” 博客,请务必保留此出处http://favccxx.blog.51cto.com/2890523/1738655
很多用户可能想到了将用户名作为盐的方案,虽然对于每一个用户来说用户名可能是不同的,但是用户名是可预测的,并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。
我们通常使用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))来生成盐。正如它的名字说明的那样,CSPRNG提供一个高标准的随机数,是完全无法预测的。在Java中,可以使用java.security.SecureRandom生成。
此外,在web应用中,我们要在服务端进行Hash,而不是客户端。因为如果Hash在客户端的话,即便传输的不是明文,如果恶意的黑客获取了用户的Hash,就可以直接登录帐号了。甚至都不需要知道客户的明文密码,也就不需要破解Hash了。我们需要记得客户端Hash并不是HTTPS的替代品。
/** * 获取随机盐 * @return */ public static String getSalt(){ SecureRandom sr; byte[] salt = new byte[16]; try { sr = SecureRandom.getInstance("SHA1PRNG", "SUN"); sr.nextBytes(salt); } catch (Exception e) { e.printStackTrace(); } return salt.toString(); }
/** * sha2 加盐加密 * @param encryptStr 需要加密的字符串 * @param salt 盐 * @return */ public static String sha2EncryptSalt(String encryptStr, String salt){ MessageDigest md = null; String encryptCode = null; byte[] bt = (encryptStr + salt).getBytes(); try { md = MessageDigest.getInstance("SHA-256"); md.update(bt); encryptCode = bytes2Hex(md.digest()); } catch (NoSuchAlgorithmException e) { return null; } return encryptCode; }
本文出自 “这个人的IT世界” 博客,请务必保留此出处http://favccxx.blog.51cto.com/2890523/1738655
相关文章推荐
- 第一章笔记
- Android内存优化杂谈
- Zoho Books: 小企业如何应对债务
- Project Wizard 最近打开项目记录
- spring整合redis客户端及缓存接口设计
- linux shell 数组建立及使用技巧
- C#委托
- Java方法之--System.arraycopy方法和Arrays.copyOf()
- Git命令(最常用10组)
- FMOD学习之-------进阶篇之----确定目标
- C# 堆和栈
- Hibernate的addEntity
- soupUI导出webservice服务端
- shared_ptr基于引用计数智能指针实现
- innodb_file_format innodb文件格式
- nurbs
- Java中使用Oracle的客户端 load data和sqlldr命令执行数据导入到数据库中
- AngualrJS中制作一个有关菜单的Directive
- 3.3 进度对话框
- Drawit插件