基于盐+Sha算法的安全密码保护机制
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基于盐+Sha算法的安全密码保护机制相关的知识,希望对你有一定的参考价值。
密码通过加盐后,可以增加密码的复杂度,即便最简单的密码,在加盐后,也能变成复杂的字符串,这大大提高了密码破解的难度。但是如果将盐硬编码在程序中或随机一次生成的,每个密码进行hash使用相同的盐会降低系统的防御力,因为相同密码的hash两次后的结果也是一样的。所以比较正确的做法是每次创建用户或修改密码都使用一个新的随机盐。
很多用户可能想到了将用户名作为盐的方案,虽然对于每一个用户来说用户名可能是不同的,但是用户名是可预测的,并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。
我们通常使用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))来生成盐。正如它的名字说明的那样,CSPRNG提供一个高标准的随机数,是完全无法预测的。在Java中,可以使用java.security.SecureRandom生成。
此外,在web应用中,我们要在服务端进行Hash,而不是客户端。因为如果Hash在客户端的话,即便传输的不是明文,如果恶意的黑客获取了用户的Hash,就可以直接登录帐号了。甚至都不需要知道客户的明文密码,也就不需要破解Hash了。我们需要记得客户端Hash并不是HTTPS的替代品。
/** * 获取随机盐 * @return */ public static String getSalt(){ SecureRandom sr; byte[] salt = new byte[16]; try { sr = SecureRandom.getInstance("SHA1PRNG", "SUN"); sr.nextBytes(salt); } catch (Exception e) { e.printStackTrace(); } return salt.toString(); }
/** * sha2 加盐加密 * @param encryptStr 需要加密的字符串 * @param salt 盐 * @return */ public static String sha2EncryptSalt(String encryptStr, String salt){ MessageDigest md = null; String encryptCode = null; byte[] bt = (encryptStr + salt).getBytes(); try { md = MessageDigest.getInstance("SHA-256"); md.update(bt); encryptCode = bytes2Hex(md.digest()); } catch (NoSuchAlgorithmException e) { return null; } return encryptCode; }
本文出自 “这个人的IT世界” 博客,请务必保留此出处http://favccxx.blog.51cto.com/2890523/1738655
以上是关于基于盐+Sha算法的安全密码保护机制的主要内容,如果未能解决你的问题,请参考以下文章