当柳上原的风吹向天际的时候...

真正的快乐来源于创造

  BlogJava :: 首页 :: 联系 :: 聚合  :: 管理
  368 Posts :: 1 Stories :: 201 Comments :: 0 Trackbacks
按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间。
如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护


直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图:


如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了。

那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍微混淆一下就能防范住了,这在加密术语中称为“加盐”。具体来说就是在原有材料(用户自定义密码)中加入其它成分(一般是用户自有且不变的因素),以此来增加系统复杂度。当这种盐和用户密码相结合后,再通过摘要处理,就能得到隐蔽性更强的摘要值。下面请见代码:
// 对密码进行加盐后加密,加密后再通过Hibernate往数据库里存
        String changedPswd=DigestUtils.md5Hex(name+pswd);

就是这样简单,上面代码中盐就是用户名,可以的话还可以用用户注册时的邮件,注册时间等非空信息(如果是空信息这个加盐处理会失效)。

下面是数据库中两个用户的记录,他们的实际登录密码都是123456,但光看用户记录是完全看不出来的。这下别有用心的人打开数据库看到的密码都完全不一样,他以前的手段就失效了。


加盐就是这样简单,感谢您看到这里。




posted on 2010-11-28 09:53 何杨 阅读(10476) 评论(6)  编辑  收藏

Feedback

# re: 对用户密码进行加盐处理 2010-11-28 12:59 太龙
刚知道这种方法叫做"加盐"  回复  更多评论
  

# re: 对用户密码进行加盐处理 2010-12-07 11:52 i4kzhang
学习了  回复  更多评论
  

# re: 对用户密码进行加盐处理[未登录] 2013-10-13 10:41 zhao
谢谢,学习了。。  回复  更多评论
  

# re: 对用户密码进行加盐处理[未登录] 2014-08-29 17:18 123
123  回复  更多评论
  

# re: 对用户密码进行加盐处理 2016-06-06 10:43 路人
学习了,谢谢  回复  更多评论
  

# re: 对用户密码进行加盐处理 2016-07-12 15:56 路人
老问题了,偶然间看到这个问题。为了不误导别人希望提醒下后来者,加盐不要用用户名。用户名同样是可见的太容易逆推了,而且用户名一变密码就不行了。  回复  更多评论
  


只有注册用户登录后才能发表评论。


网站导航: