md5加密(或者说摘要算法)大家都很熟悉了 就不解释了

现在很多数据库设计都喜欢用单向加密的方式保存密码,验证时对提交的密码再次加密之后做密文对比

        /// <summary> 使用MD5加密

        /// </summary>

        /// <param name="input">加密字符串</param>

        /// <remarks>2015.08.26</remarks>

        public static Guid ToMD5(string input)

        {

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                var count = hash.Length;

                hash[0] = (byte)(hash[3] + (hash[3] = hash[0]) * 0); //交换0,3的值

                hash[1] = (byte)(hash[2] + (hash[2] = hash[1]) * 0); //交换1,2的值

                hash[5] = (byte)(hash[4] + (hash[4] = hash[5]) * 0); //交换4,5的值

                hash[7] = (byte)(hash[6] + (hash[6] = hash[7]) * 0); //交换6,7的值

                return new Guid(hash);

            }

        }

  

这种设计最初是防止被暴库之后 黑客可以直接得到用户的密码而设计的,因为是单向加密,所以即便知道加密算法也无法得到用户的实际密码

但是所谓道高一尺魔高一丈, 在彩虹表出现之后, 单纯的md5也不安全了

以下摘自百度百科:

彩虹表是一个用于加密散列函数逆运算的预先计算好的表, 常用于破解加密过的密码散列。一般主流的彩虹表都在100G以上。 查找表常常用于包含有限字符固定长度纯文本密码的加密。这是以空间换时间的典型实践, 在每一次尝试都计算的暴力破解中使用更少的计算能力和更多的储存空间,但却比简单的每个输入一条散列的翻查表使用更少的储存空间和更多的计算性能。使用加盐的KDF函数可以使这种攻击难以实现。

简单的来说就是 攻击者 将简单的密码(123456,111111,888888等)密码事先进行md5加密,得到密文(如123456->e10adc3949ba59abbe56e057f20f883e),然后使用这张表的数据去对比被暴的数据库的密文

这样单纯的md5,很容易就被拿下了

所以后来出现了 2次md5...N次md5, 当然这种也是然并卵......

所以后来出现了加盐加密,

简单来说:比如登录名是blqw ,密码123456 ,则数据库的密文是 md5(123456+blqw),这样可以保证,即使用户的密码是一样的,但密文却不同,这样彩虹表就歇菜了

加盐的方式有很多,一种是 md5(密码+登录名) ,这种方式大部分情况下是可以的

但是登录名修改后,密文也要修改,但是这时候你已经不知道密码的原文是什么了....(虽然一般的登录名是不能修改的,但是产品汪的想法谁知道呢.....)

或者也有人选择多建一个字段用于存放混淆码, 但是依然很麻烦

好了,说了这么多 下面就说说今天的主题,一种比较简单的加盐的方式

        public static Guid ToRandomMD5(string input)

        {

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                //获取一个256以内的随机数,用于充当 "盐"

                var salt = (byte)Math.Abs(new object().GetHashCode() % 256);

                input += salt;

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                hash[0] = salt;

                return new Guid(hash);

            }

        }

        public static bool EqualsRandomMD5(string input, Guid rmd5)

        {

            var arr = rmd5.ToByteArray();

            //将盐取出来

            var salt = arr[0];

            using (var md5Provider = new MD5CryptoServiceProvider())

            {

                input += salt;

                var bytes = Encoding.UTF8.GetBytes(input);

                var hash = md5Provider.ComputeHash(bytes);

                for (int i = 1; i < 16; i++)

                {

                    if (hash[i] != arr[i])

                    {

                        return false;

                    }

                }

                return true;

            }

        }

  

  简单的来说就是把盐放到密文里面 md5 hash完之后得到一个16长度的byte 而byte可以保存0~255的整数 ,所以例子里面,随机的盐就是0~255的数字

然后md5(明文+盐)之后 再将盐保存到 byte[0] 的位置

这样每次hash之后 密文都是不同的 但是依然可以直接密文比较, 这里就是抛砖引玉,觉得255不够的 还可以加一位

当然也可以直接放在1~15的索引上

当然也可以把索引15的byte对15取余后得到0~14然后再放进去....

一种简单的md5加盐加密的方法(防止彩虹表撞库)的更多相关文章

  1. md5加密,md5加盐加密和解密

    package com.java.test; import java.security.MessageDigest; import java.security.SecureRandom; import ...

  2. MD5 加盐加密

    一.概述 MD5(Message Digest  Algorithm 5),是一种散列算法,是不可逆的,即通过md5加密之后没办法得到原文,没有解密算法. 在一般的项目中都会有登录注册功能,最简单的, ...

  3. MD5加盐加密

    package com.chauvet.utils; import java.security.NoSuchAlgorithmException; import java.util.Random; / ...

  4. MD5加密算法中的加盐值 ,和彩虹表攻击 防止彩虹表撞库

    一.什么是彩虹表? 彩虹表(Rainbow Tables)就是一个庞大的.针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码.越是复 ...

  5. Java使用MD5加盐进行加密

    Java使用MD5加盐进行加密    我使用的方法是导入了md5.jar包,就不需要再自己写MD5的加密算法了,直接调用方法即可 点击下载md5包 import com.ndktools.javamd ...

  6. 加盐加密salt

    加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“(salt)的n位随机数相关联. 加盐加密是一种对系统登录口令的加密方式,它实现的方式是将每一个口令同一个叫做”盐“( ...

  7. 【koa2】用户注册、登录校验与加盐加密

    加密与解密 先介绍一下关于服务端用户名跟密码的存储状态,我们知道当前端在注册一个新用户时,会在表单内填入用户名和密码,并通过post请求提交到服务器,服务器再把用户名和密码从ctx.request.b ...

  8. Shiro加盐加密

    接本人的上篇文章<Shiro认证.角色.权限>,这篇文章我们来学习shiro的加盐加密实现 自定义Realm: package com.czhappy.realm; import org. ...

  9. 关于MD5+salt盐加密

    MD5+salt 最近浏览浏览一些帖子时,发现曾经引以为傲的md5加密算法,虽然是无法解密的算法,但是现在可以通过FELHELP(谷歌浏览器插件)或者一些字典可以套出来,.但是当md5+salt值时, ...

随机推荐

  1. 前端极易被误导的css选择器权重计算及css内联样式的妙用技巧

    记得大学时候,专业课的网页设计书籍里面讲过css选择器权重的计算:id是100,class是10,html标签是5等等,然后全部加起来的和进行比较... 我只想说:真是误人子弟,害人不浅! 最近,在前 ...

  2. 一起学微软Power BI系列-使用技巧(5)自定义PowerBI时间日期表

    1.日期函数表作用 经常使用Excel或者PowerBI,Power Pivot做报表,时间日期是一个重要的纬度,加上做一些钻取,时间日期函数表不可避免.所以今天就给大家分享一个自定义的做日期表的方法 ...

  3. Linux 常用命令(持续补充)

    常用命令: command &:将进程放在后台执行 ctrl + z:暂停当前进程 并放入后台 jobs:查看当前后台任务 bg( %id):将任务转为后台执行 fg( %id):将任务调回前 ...

  4. How those spring enable annotations work--转

    原文地址:http://blog.fawnanddoug.com/2012/08/how-those-spring-enable-annotations-work.html Spring's Java ...

  5. NLP点滴——文本相似度

    [TOC] 前言 在自然语言处理过程中,经常会涉及到如何度量两个文本之间的相似性,我们都知道文本是一种高维的语义空间,如何对其进行抽象分解,从而能够站在数学角度去量化其相似性.而有了文本之间相似性的度 ...

  6. iOS开源项目周报1215

    由OpenDigg 出品的iOS开源项目周报第一期来啦.我们的iOS开源周报集合了OpenDigg一周来新收录的优质的iOS开发方面的开源项目,方便iOS开发人员便捷的找到自己需要的项目工具等. PY ...

  7. linux字符串url编码与解码

    编码的两种方式 echo '手机' | tr -d '\n' | xxd -plain | sed 's/\(..\)/%\1/g' echo '手机' |tr -d '\n' |od -An -tx ...

  8. 当我们在谈论kmeans(1)

    本稿为初稿,后续可能还会修改:如果转载,请务必保留源地址,非常感谢! 博客园:http://www.cnblogs.com/data-miner/ 简书:建设中... 知乎:建设中... 当我们在谈论 ...

  9. Android(4)—Mono For Android 第一个App应用程序

    0.前言 年前就计划着写这篇博客,总结一下自己做的第一个App,却一直被新项目所累,今天抽空把它写完,记录并回顾一下相关知识点,也为刚学习Mono的同学提供佐证->C#也是开发Android的! ...

  10. Visual Studio 2015正式发布

    Windows 10 RTM正式版要7月29日发布,微软的另一个重磅软件Visual Studio 2015已经率先发布,今天如期放出了正式版本.Visual Studio 2015包括许多新功能和更 ...