使用者密碼儲存到資料庫時,以下幾種方式是常見的密碼儲存方式:
直接明文儲存,比如使用者設定的密碼是「123456」,直接將「123456」儲存在資料庫中,這種是最簡單的儲存方式,也是最不安全的方式。但實際上不少網際網路公司,都可能採取的是這種方式。
使用對稱加密演算法來儲存,比如3des、aes等演算法,使用這種方式加密是可以通過解密來還原出原始密碼的,當然前提條件是需要獲取到金鑰。不過既然大量的使用者資訊已經洩露了,金鑰很可能也會洩露,當然可以將一般資料和金鑰分開儲存、分開管理,但要完全保護好金鑰也是一件非常複雜的事情,所以這種方式並不是很好的方式。
使用md5、sha1等單向hash演算法保護密碼,使用這些演算法後,無法通過計算還原出原始密碼,而且實現比較簡單,因此很多網際網路公司都採用這種方式儲存使用者密碼,曾經這種方式也是比較安全的方式,但隨著彩虹表技術的興起,可以建立彩虹表進行查表破解,目前這種方式已經很不安全了。
== 特殊的單向hash演算法==,由於單向hash演算法在保護密碼方面不再安全,於是有些公司在單向hash演算法基礎上進行了加鹽、多次hash等擴充套件,這些方式可以在一定程度上增加破解難度,對於加了「固定鹽」的hash演算法,需要保護「鹽」不能洩露,這就會遇到「保護對稱金鑰」一樣的問題,一旦「鹽」洩露,根據「鹽」重新建立彩虹表可以進行破解,對於多次hash,也只是增加了破解的時間,並沒有本質上的提公升。
pbkdf2演算法,該演算法原理大致相當於在hash演算法基礎上增加隨機鹽,並進行多次hash運算,隨機鹽使得彩虹表的建表難度大幅增加,而多次hash也使得建表和破解的難度都大幅增加。使用pbkdf2演算法時,hash演算法一般選用sha1或者sha256,隨機鹽的長度一般不能少於8位元組,hash次數至少也要1000次,這樣安全性才足夠高。
一次密碼驗證過程進行1000次hash運算,對伺服器來說可能只需要1ms,但對於破解者來說計算成本增加了1000倍,而至少8位元組隨機鹽,更是把建表難度提公升了n個數量級,使得大批量的破解密碼幾乎不可行,該演算法也是美國國家標準與技術研究院推薦使用的演算法。
bcrypt、scrypt等演算法,這兩種演算法也可以有效抵禦彩虹表,使用這兩種演算法時也需要指定相應的引數,使破解難度增加。
golang pbkdf2加密儲存使用者密碼
pbkdf2 password based key derivation function 是乙個用來匯出金鑰的函式,常用於生成加密的密碼。原理是通過 password 和 salt 進行 hash 加密,然後將結果作為 salt 與 password 再進行 hash,多次重複此過程,生成最終的密...
golang pbkdf2加密儲存使用者密碼
概述 pbkdf2 password based key derivation function 是乙個用來匯出金鑰的函式,常用於生成加密的密碼。原理是通過 password 和 salt 進行 hash 加密,然後將結果作為 salt 與 password 再進行 hash,多次重複此過程,生成最...
如何加密傳輸和儲存使用者密碼
近期,github被爆出,在內部日誌中記錄了明文密碼。雖然據說影響面很小,但是網路和資料安全問題又一次被放到臺面上。大多數使用者的常用密碼就那麼幾個,一旦被黑客拿到,去其他 撞庫 可能會造成使用者的財產損失。加密主要有兩種方式 對稱加密和非對稱加密。對稱加密 在加密和解密時使用的是同乙個秘鑰。對稱加...