常见的用户密码在后台数据库中加密存储方式
常见的⽤户密码在后台数据库中加密存储⽅式
1、直接明⽂保存,⽐如⽤户设置的密码是“123456”,直接将“123456”保存在数据库中,这种是最简单的保存⽅式,也是最不安全的⽅式。但实际上不少互联⽹公司,都可能采取的是这种⽅式。
2、使⽤对称加密算法来保存,⽐如3DES、AES等算法,使⽤这种⽅式加密是可以通过解密来还原出原始密码的,当然前提条件是需要获取到密钥。不过既然⼤量的⽤户信息已经泄露了,密钥很可能也会泄露,当然可以将⼀般数据和密钥分开存储、分开管理,但要完全保护好密钥也是⼀件⾮常复杂的事情,所以这种⽅式并不是很好的⽅式。百里守约出装>团日活动总结格式
3、使⽤MD5、SHA1等单向HASH算法保护密码,使⽤这些算法后,⽆法通过计算还原出原始密码,⽽
且实现⽐较简单,因此很多互联⽹公司都采⽤这种⽅式保存⽤户密码,曾经这种⽅式也是⽐较安全的⽅式,但随着彩虹表技术的兴起,可以建⽴彩虹表进⾏查表破解,⽬前这种⽅式已经很不安全了。
meihua
4、特殊的单向HASH算法,由于单向HASH算法在保护密码⽅⾯不再安全,于是有些公司在单向HASH算法基础上进⾏了加盐、多次HASH等扩展,这些⽅式可以在⼀定程度上增加破解难度,对于加了“固定盐”的HASH算法,需要保护“盐”不能泄露,这就会遇到“保护对称密钥”⼀样的问题,⼀旦“盐”泄露,根据“盐”重新建⽴彩虹表可以进⾏破解,对于多次HASH,也只是增加了破解的时间,并没有本质上的提升。
5、PBKDF2算法,该算法原理⼤致相当于在HASH算法基础上增加随机盐,并进⾏多次HASH运算,随机盐使得彩虹表的建表难度⼤幅增加,⽽多次HASH也使得建表和破解的难度都⼤幅增加。使⽤PBKDF2算法时,HASH算法⼀般选⽤sha1或者sha256,随机盐的长度⼀般不能少于8字节,HASH次数⾄少也要1000次,这样安全性才⾜够⾼。⼀次密码验证过程进⾏1000次HASH运算,对服务器来说可能只需要1ms,但对于破解者来说计算成本增加了1000倍,⽽⾄少8字节随机盐,更是把建表难度提升了N个数量级,使得⼤批量的破解密码⼏乎不可⾏,该算法也是美国国家标准与技术研究院推荐使⽤的算法。
6、bcrypt、scrypt等算法,这两种算法也可以有效抵御彩虹表,使⽤这两种算法时也需要指定相应的参数,使破解难度增加。
下表对⽐了各个算法的特性:
关于清明节的作文300字⼆、⽤户密码破解
⽤户密码破解需要针对具体的加密⽅式来实施,如果使⽤对称加密,并且算法⾜够安全(⽐如AES),必须获取到密钥才能解密,没有其它可⾏的破解⽅式。
如果采⽤HASH算法(包括特殊HASH),⼀般使⽤彩虹表的⽅式来破解,彩虹表的原理是什么呢?我们先来了解下如何进⾏HASH碰撞。单向HASH算法由于不能进⾏解密运算,只能通过建表、查表的⽅式进⾏碰撞,即将常⽤的密码及其对应的HASH值全计算出来并存储,当获取到HASH值是,直接查表获取原始密码,假设⽤MD5算法来保护6位数字密码,可以建如下表:
全表共100W条记录,因为数据量不⼤,这种情况建表、查表都⾮常容易。但是当密码并不是6位纯数
字密码,⽽是数字、⼤⼩写字母结合的10位密码时,建⽴⼀个这样的表需要(26+26+10)^ 10 ≈ 83亿亿(条记录),存储在硬盘上⾄少要占⽤2000W TB的空间,这么⼤的存储空间,成本太⼤,⼏乎不可⾏。有什么办法可以减少存储空间?⼀种⽅法是“预计算哈希链”,“预计算哈希链”可以⼤幅减少HASH表的存储空间,但相应的增加了查表时的计算量,其原理⼤致如下:
建表过程:
独生子女将无法继承父母房产
先对原始数据“000000”进⾏⼀次HASH运算得到“670B1E”,再对HASH值进⾏⼀次R运算,R是⼀个定制的算法可以将HASH值映射到明⽂空间上(这⾥我们的明⽂空间是000000~999999),R运算后得到“283651”,再对“283651”进⾏hash运算得
抖音上8023是什么意思到“1A99CD”,然后在进⾏R运算得到“819287”,如此重复多次,得到⼀条哈希链。然后再选⽤其它原始数据建⽴多条哈希链。最终仅将链头和链尾保存下来,中间节点全都去掉。
查表过程:假设拿到了⼀条HASH值“670B1E”,⾸先进⾏⼀次R运算,得到了“283651”,查询所有链尾是否有命中,如果没有,则再进⾏⼀次HASH、⼀次R,得到了“819287”,再次所有链尾,可以得到
看出已经命中。这样我们就可以基本确认“670B1E”对应的明⽂就在这条链上,然后我们把这条链的⽣成过程进⾏重新计算,计算过程中可以发现“000000”的HASH值就是“670B1E”,这样就完成了整个查表过程。这种表就是“预计算哈希链”。这种⽅式存在⼀个问题,多条链之间可能存在⼤量的重复数据,如下图所⽰:
为了解决这个问题,我们将R算法进⾏扩展,⼀条链上的多次R运算采⽤不同的算法,如下图:
⼀条链上的每个R算法都不⼀样,就像彩虹的每层颜⾊⼀样,因此取名的为彩虹表。
当然彩虹表除了可以⽤户破解HASH算法外,理论上还可以⽤于破解对称加密算法,⽐如DES算法,由于DES算法密钥⽐较短,建⽴彩虹表破解是完全可⾏的;但对于AES算法,由于密钥⽐较长,建表⼏乎不可⾏(需要耗时N亿年)。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。