/u/avatar/q1bxo5-B1VEwDk){kind=small}
做个小系统,需要用户登录,密码怎么存储呢?明文存储是不好的,但好像 hash 加密也不行,MD5 不是被爆破了吗?
用户密码存储的问题?hash?
programming
469 views
Comments
登录后评论
Sign In/u/avatar/E52xmd-R5PzL2D){kind=small}
不能明文,bcrypt,用这个加密,Spring Security 推荐的加密算法,通过计算复杂度延长密码加密时间,而且每个密码都有一个独立的 salt,增大彩虹表攻击的难度,可以看看这篇文章:加密技术的未来:从服务端密码存储到用户数据加密方案
/u/avatar/L5XAka-PwBQq5X){kind=small}
MD5 有冲撞问题,而且有彩虹表了,很容易逆向解析出来,SHA1 类似的也会有问题,用户登录的时候等待1秒没什么关系,此类加密算法都是通过增加计算复杂度,比如内存占用或者 CPU 时钟周期,增大攻击成本,bcrypt 被广泛使用,可以用这个加密算法。
下图是加密后的字符串,带有版本号和迭代次数(次数越高执行时间越长),可以根据计算机硬件升级提升迭代次数,保持较高的攻击成本
/pub/gjb5RN-LbdqgAd)
/u/avatar/r63O49-bGVnW0W){kind=small}
hash(盐+pwd)
/users/-/avatars/eef1bb43-c8f8-4ef4-9dfb-e5790818e001){kind=small}
/u/avatar/Mp8Gxp-JKmz8WO){kind=small}
/users/-/avatars/1a95850c-9fd0-4751-86a2-f7c8cf9c988c){kind=small}
/u/avatar/KKoP5V-OJ0gYAN){kind=small}
/users/-/avatars/258f9a50-cd84-48f9-96e1-f75e0ce3719b){kind=small}
/users/-/avatars/4cb682f9-1c9d-4782-ae93-6eb7ff531054){kind=small}