参考文档

http://www.cnblogs.com/richardlee/articles/2511321.html

https://en.wikipedia.org/wiki/Salt_%28cryptography%29

https://www.91ri.org/7593.html

密码存储为什么不能是明文?

当账户密码是明文存储的话, 万一本网站给黑客攻破获取了数据, 则用户的账户被泄露。(术语叫 拖库)

当黑客知道了你的账户后, 其可以使用此账户,到其他网站尝试访问, 例如有厉害关系的网站, 银行等。 (术语叫 撞库)

一般来说, 普通用户为了减少密码记忆负担, 则容易在所有网站, 设置相同密码。

为了减少用户注册登陆流程,新的网站一般使用公共账户认证服务, 例如(qq 微信 等), 这样也可以减少拖库撞库危险。

密码应该以hash形式存储?

不能以明文形式存储, 自然以密文方式存储。

如果使用 对称加密方式, 则加密和解密的秘钥, 必须存储在网站上, 一旦密钥和算法泄露 并且 库被拖走, 密码就可以被直接计算出来,则密码的安全性仍然不能保证。

密码以hash方式存储, 则保证密码不能被反向计算出来, 就算网站的维护人员, 也不能查看到原始密码是多少。 最多其能看到一串 hash值。

黑客就算拿到hash值, 由于hash值不能被反向还原, 例如 MD5 SHA, 也只能悻悻然。

这样保证用户密码的安全性。

密码计算hash为什么要添加salt?

试想,如果对于每个密码, 都直接采用某种hash算法, 计算得到hash值。

对于一些简单密码, 其hash值是固定的, 则可以构造所有 最易使用的简单密码 的 hash值 成为一个表,

当黑客拖库拿到 密码的 hash值后,  其使用构造表中的 hash值比较, 如果你相等, 则得到 密码的原始值。

所以每年都有最弱密码排名, 提醒广大互联网用户, 不要使用简单密码。

http://tech.163.com/12/1029/04/8EV6LS9U000915BF.html

对于每一个密码都生成一个随机数(salt), 计算hash值的时候,将 salt 和 密码拼接后作为入参, 得到的hash值, 可以解决一张hash表, 尝试破解所有密码的问题。

但是对于单个密码, 其salt也被泄露, 如果即时构造一个 带salt的 hash表, 同样也可以破解密码。

如何加salt?

http://www.cnblogs.com/richardlee/articles/2511321.html

How long should the salt be?

The salt should be at least as long as the hash function. For example, if your hash function is 256 bits, then you should have a salt of at least 256 bits. I find that the easiest way to generate enough salt is to generate a random string of hex characters that is the same length as the hash function output (64 hex characters for 256 bits). First and foremost, your salt should be long enough so that no two users' passwords will ever be hashed using the same salt.

How do I generate the salt?

Use a Cryptographically Secure Pseudo-Random Number Generator (CSPRNG). Do NOT use your language's math library's rand() function. There will be a proper CSPRNG for you to use. In PHP, it's mcrypt_create_iv() and in .NET it's System.Security.Cryptography.RNGCryptoServiceProvider. The imporant thing is that the salt is uniquefor each user. Using a high quality CSPRNG to generate a long salt will practically guarantee uniqueness without needing to manually check if the salt has been used before.

如何选择hash算法?

What hash algorithm should I use?

DO use:

DO NOT use:

    • MD5
    • SHA0 or SHA1
    • crypt unless it uses SHA256 or SHA512
    • Any algorithm that you made yourself or hasn't gone through an intensive peer review process like the SHA3 competition

是否加了盐, 密码就安全了?

不是的, 添加了salt,是提高了破解的难度。  但是如果密码本身是不安全的, 例如非常简单的规则 纯数字 , 则很容易被破解。 不管是否添加salt。

所以一些网站要求, 密码 必须包含 字母 数字, 外还必须添加一种特殊符号。

Salted hash password的更多相关文章

  1. [Web Security] Create a hash salt password which can stored in DB

    We cannot directly store user password in the database. What need to do is creating a hashed & s ...

  2. 数据库里账号的密码,需要怎样安全的存放?—— 密码哈希(Password Hash)

    最早在大学的时候,只知道用 MD5 来存用户的账号的密码,但其实这非常不安全,而所用到的哈希函数,深入挖掘,也发现并不简单-- 一.普通的 Hash 函数 哈希(散列)函数是什么就不赘述了. 1.不推 ...

  3. Spring Security(三十三):10.3 Password Encoding

    Spring Security’s PasswordEncoder interface is used to support the use of passwords which are encode ...

  4. 对抗密码破解 —— Web 前端慢 Hash

    (更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. ...

  5. Hash 函数及其重要性

    不时会爆出网站的服务器和数据库被盗取,考虑到这点,就要确保用户一些敏感数据(例如密码)的安全性.今天,我们要学的是 hash 背后的基础知识,以及如何用它来保护你的 web 应用的密码. 申明 密码学 ...

  6. 理解php Hash函数,增强密码安全

    1.声明 密码学是一个复杂的话题,我也不是这方面的专家.许多高校和研究机构在这方面都有长期的研究.在这篇文章里,我希望尽量使用简单易懂的方式向你展示一种安全存储Web程序密码的方法. 2.“Hash” ...

  7. Helpers\Password

    Helpers\Password The password class uses php 5 password_ functions. To create a hash of a password, ...

  8. 使用nodeJS的 crypto模块来为你的密码hash加盐

    这篇文章将向你解释如何使用Node.js的Crypto模块对你的密码进行加盐hash.在这里,我们将不会对不懂的密码存储方式进行详细的比较.我们将要做的是知道在Node.js中使用加盐hash在进行密 ...

  9. 对抗明文口令泄露 —— Web 前端慢 Hash

    (更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. ...

随机推荐

  1. Codeforces Round #228 (Div. 2) B. Fox and Cross

    #include <iostream> #include <string> #include <vector> #include <algorithm> ...

  2. 读书笔记:javascript高级技巧(二)

    四.惰性载入函数 因为浏览器兼容的原因,我们的javascript代码会有大量的if语句,将执行引导到正确的代码中,看如下函数: function createXHR(){ if (typeof XM ...

  3. 【BZOJ2186】【SDoi2008】沙拉公主的困惑 数论

    Description 大富翁国因为通货膨胀,以及假钞泛滥,政府决定推出一项新的政策:现有钞票编号范围为1到N的阶乘,但是,政府只发行编号与M!互质的钞票.房地产第一大户沙拉公主决定预测一下大富翁国现 ...

  4. 使用SQLAlchemy对Firebird数据库进行操作

    来这个公司已经一周了,度过了开始的无聊日子准备正式准备做点东西了,这几天接触了一下文件数据库InterBase,尝试在Ubuntu上连接其开源版本Firebird,因为公司使用的是SQLAlchemy ...

  5. Android -- ListView(SimpleAdapter) 自定义适配器

    aaarticlea/jpeg;base64,/9j/4AAQSkZJRgABAQEAYABgAAD/2wBDAAEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBAQEBA ...

  6. BZOJ3835: [Poi2014]Supercomputer

    Description Byteasar has designed a supercomputer of novel architecture. It may comprise of many (id ...

  7. SQL Server 父子迭代查询语句,树状查询(转)

    -- Get childs by parent id WITH Tree AS ( SELECT Id,ParentId FROM dbo.Node P WHERE P.Id = -- parent ...

  8. 20145330第十周《Java学习笔记》

    20145330第十周<Java学习笔记> 网络编程 网络编程就是在两个或两个以上的设备(例如计算机)之间传输数据.程序员所作的事情就是把数据发送到指定的位置,或者接收到指定的数据,这个就 ...

  9. C#读取文本播放相应语音【转】

    第一种方案: 利用微软text to speech引擎(TTS),读取文本 (1)添加Microsoft Speech Object Library的项目引用 (2)引入using SpeechLib ...

  10. Android基于XMPP的即时通讯1-基本对话

    闲暇之余,自己写了个简单的即时通讯,基于OpenFire服务器平台. 整个项目包括两个部分,一个是服务器端,一个是android手机端: 一.关于服务器端没什么好说的,下载安装配置即可 推荐下载带ja ...