md5加密(或者说摘要算法)大家都很熟悉了 就不解释了

现在很多数据库设计都喜欢用单向加密的方式保存密码,验证时对提交的密码再次加密之后做密文对比

        /// <summary> 使用MD5加密

        /// </summary>

        /// <param name="input">加密字符串</param>

        /// <remarks>2015.08.26</remarks>

        public static Guid ToMD5(string input)

        {

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                var count = hash.Length;

                hash[0] = (byte)(hash[3] + (hash[3] = hash[0]) * 0); //交换0,3的值

                hash[1] = (byte)(hash[2] + (hash[2] = hash[1]) * 0); //交换1,2的值

                hash[5] = (byte)(hash[4] + (hash[4] = hash[5]) * 0); //交换4,5的值

                hash[7] = (byte)(hash[6] + (hash[6] = hash[7]) * 0); //交换6,7的值

                return new Guid(hash);

            }

        }

  

这种设计最初是防止被暴库之后 黑客可以直接得到用户的密码而设计的,因为是单向加密,所以即便知道加密算法也无法得到用户的实际密码

但是所谓道高一尺魔高一丈, 在彩虹表出现之后, 单纯的md5也不安全了

以下摘自百度百科:

彩虹表是一个用于加密散列函数逆运算的预先计算好的表, 常用于破解加密过的密码散列。一般主流的彩虹表都在100G以上。 查找表常常用于包含有限字符固定长度纯文本密码的加密。这是以空间换时间的典型实践, 在每一次尝试都计算的暴力破解中使用更少的计算能力和更多的储存空间,但却比简单的每个输入一条散列的翻查表使用更少的储存空间和更多的计算性能。使用加盐的KDF函数可以使这种攻击难以实现。

简单的来说就是 攻击者 将简单的密码(123456,111111,888888等)密码事先进行md5加密,得到密文(如123456->e10adc3949ba59abbe56e057f20f883e),然后使用这张表的数据去对比被暴的数据库的密文

这样单纯的md5,很容易就被拿下了

所以后来出现了 2次md5...N次md5, 当然这种也是然并卵......

所以后来出现了加盐加密,

简单来说:比如登录名是blqw ,密码123456 ,则数据库的密文是 md5(123456+blqw),这样可以保证,即使用户的密码是一样的,但密文却不同,这样彩虹表就歇菜了

加盐的方式有很多,一种是 md5(密码+登录名) ,这种方式大部分情况下是可以的

但是登录名修改后,密文也要修改,但是这时候你已经不知道密码的原文是什么了....(虽然一般的登录名是不能修改的,但是产品汪的想法谁知道呢.....)

或者也有人选择多建一个字段用于存放混淆码, 但是依然很麻烦

好了,说了这么多 下面就说说今天的主题,一种比较简单的加盐的方式

        public static Guid ToRandomMD5(string input)

        {

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                //获取一个256以内的随机数,用于充当 "盐"

                var salt = (byte)Math.Abs(new object().GetHashCode() % 256);

                input += salt;

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                hash[0] = salt;

                return new Guid(hash);

            }

        }

        public static bool EqualsRandomMD5(string input, Guid rmd5)

        {

            var arr = rmd5.ToByteArray();

            //将盐取出来

            var salt = arr[0];

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                input += salt;

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                for (int i = 1; i < 16; i++)

                {

                    if (hash[i] != arr[i])

                    {

                        return false;

                    }

                }

                return true;

            }

        }

  

  简单的来说就是把盐放到密文里面 md5 hash完之后得到一个16长度的byte 而byte可以保存0~255的整数 ,所以例子里面,随机的盐就是0~255的数字

然后md5(明文+盐)之后 再将盐保存到 byte[0] 的位置

这样每次hash之后 密文都是不同的 但是依然可以直接密文比较, 这里就是抛砖引玉,觉得255不够的 还可以加一位

当然也可以直接放在1~15的索引上

当然也可以把索引15的byte对15取余后得到0~14然后再放进去....

一种简单的md5加盐加密的方法(防止彩虹表撞库)的更多相关文章

  1. md5加密,md5加盐加密和解密

    package com.java.test; import java.security.MessageDigest; import java.security.SecureRandom; import ...

  2. MD5 加盐加密

    一.概述 MD5(Message Digest  Algorithm 5),是一种散列算法,是不可逆的,即通过md5加密之后没办法得到原文,没有解密算法. 在一般的项目中都会有登录注册功能,最简单的, ...

  3. MD5加盐加密

    package com.chauvet.utils; import java.security.NoSuchAlgorithmException; import java.util.Random; / ...

  4. MD5加密算法中的加盐值 ,和彩虹表攻击 防止彩虹表撞库

    一.什么是彩虹表? 彩虹表(Rainbow Tables)就是一个庞大的.针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码.越是复 ...

  5. Java使用MD5加盐进行加密

    Java使用MD5加盐进行加密    我使用的方法是导入了md5.jar包,就不需要再自己写MD5的加密算法了,直接调用方法即可 点击下载md5包 import com.ndktools.javamd ...

  6. 加盐加密salt

    加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联. 加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“( ...

  7. 【koa2】用户注册、登录校验与加盐加密

    加密与解密 先介绍一下关于服务端用户名跟密码的存储状态,我们知道当前端在注册一个新用户时,会在表单内填入用户名和密码,并通过post请求提交到服务器,服务器再把用户名和密码从ctx.request.b ...

  8. Shiro加盐加密

    接本人的上篇文章<Shiro认证.角色.权限>,这篇文章我们来学习shiro的加盐加密实现 自定义Realm: package com.czhappy.realm; import org. ...

  9. 关于MD5+salt盐加密

    MD5+salt 最近浏览浏览一些帖子时,发现曾经引以为傲的md5加密算法,虽然是无法解密的算法,但是现在可以通过FELHELP(谷歌浏览器插件)或者一些字典可以套出来,.但是当md5+salt值时, ...

随机推荐

  1. 【小程序分享篇 一 】开发了个JAVA小程序, 用于清除内存卡或者U盘里的垃圾文件非常有用

    有一种场景, 手机内存卡空间被用光了,但又不知道哪个文件占用了太大,一个个文件夹去找又太麻烦,所以我开发了个小程序把手机所有文件(包括路径下所有层次子文件夹下的文件)进行一个排序,这样你就可以找出哪个 ...

  2. 匹夫细说C#:庖丁解牛迭代器,那些藏在幕后的秘密

    0x00 前言 在匹夫的上一篇文章<匹夫细说C#:不是“栈类型”的值类型,从生命周期聊存储位置>的最后,匹夫以总结和后记的方式涉及到一部分迭代器的知识.但是觉得还是不够过瘾,很多需要说清楚 ...

  3. ABP文档 - 本地化

    文档目录 本节内容: 简介 应用语言 本地化源 XML文件 注册XML本地化源 JSOn文件 注册JSON本地化源 资源文件 自定义源 获取一个本地文本 在服务端 在MVc控制器里 在MVC视图里 在 ...

  4. 使用蓝灯后,IE浏览器以及内置IE浏览器的程序不能使用的解决方案

    使用完蓝灯后,每次使用IE浏览器都不能正常使用,于是有了下面的这个方案 1.通过Win+R 打开注册表编辑器(regedit) 进入目录 HKEY_CURRENT_USER \ Software \ ...

  5. VS2015在创建项目时的一些注意事项

    一.下面是在创建一个新的项目是我最常用的,现在对他们一一做一个详细的介绍: 1.Win32控制台应用程序我平时编写小的C/C++程序都用它,它应该是用的最多的. 2.名称和解决方案名称的区别:名称是项 ...

  6. maven-sprigmvc-mybatis配置

    pom.xml配置 <?xml version="1.0"?> <project xsi:schemaLocation="http://maven.ap ...

  7. Atiti.大企业病与小企业病 大公司病与小公司病

    Atiti.大企业病与小企业病 大公司病与小公司病 1. 大企业病,一般会符合机构臃肿 .多重领导 .人才流失的特点.1 2. 大企业病避免方法1 3. 小企业病 1 3.1.1. 表现1 4. 如何 ...

  8. Hadoop伪分布式集群环境搭建

    本教程讲述在单机环境下搭建Hadoop伪分布式集群环境,帮助初学者方便学习Hadoop相关知识. 首先安装Hadoop之前需要准备安装环境. 安装Centos6.5(64位).(操作系统再次不做过多描 ...

  9. ABP源码分析二:ABP中配置的注册和初始化

    一般来说,ASP.NET Web应用程序的第一个执行的方法是Global.asax下定义的Start方法.执行这个方法前HttpApplication 实例必须存在,也就是说其构造函数的执行必然是完成 ...

  10. Spring Security OAuth2 开发指南

    官方原文:http://projects.spring.io/spring-security-oauth/docs/oauth2.html 翻译及修改补充:Alex Liao. 转载请注明来源:htt ...