`

用户登录安全:使用 Salt + Hash 来为密码加密

 
阅读更多

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

 

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。
 
  这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

(一) 为什么要用哈希函数来加密密码

 

 

如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码。

 

解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(Hash Function)。哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如下:

(1)原始密码经哈希函数计算后得到一个哈希值

(2)改变原始密码,哈希函数计算出的哈希值也会相应改变

(3) 同样的密码,哈希值也是相同的

(4) 哈希函数是单向、不可逆的。也就是说从哈希值,你无法推算出原始的密码是多少

有了哈希函数,我们就可以将密码的哈希值存储进数据库。用户登录网站的时候,我们可以检验用户输入密码的哈希值是否与数据库中的哈希值相同。

 

由于哈希函数是不可逆的,即使有人打开了数据库,也无法看到用户的密码是多少。

那么存储经过哈希函数加密后的密码是否就是安全的了呢?我们先来看一下几种常见的破解密码的方法。

 

(二) 几种常见的破解密码的方法

 

最简单、常见的破解方式当属字典破解(Dictionary Attack)和暴力破解(Brute Force Attack)方式。这两种方法说白了就是猜密码。

 

字典破解和暴力破解都是效率比较低的破解方式。如果你知道了数据库中密码的哈希值,你就可以采用一种更高效的破解方式,查表法(Lookup Tables)。还有一些方法,比如逆向查表法(Reverse Lookup Tables)、彩虹表(Rainbow Tables)等,都和查表法大同小异。现在我们来看一下查表法的原理。

 

查表法不像字典破解和暴力破解那样猜密码,它首先将一些比较常用的密码的哈希值算好,然后建立一张表,当然密码越多,这张表就越大。当你知道某个密码的哈希值时,你只需要在你建立好的表中查找该哈希值,如果找到了,你就知道对应的密码了。

 

(三) 为密码加盐(Salt)

 

从上面的查表法可以看出,即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?答案是加盐。

 

盐(Salt)是什么?就是一个随机生成的字符串。我们将盐与原始密码连接(concat)在一起(放在前面或后面都可以),然后将concat后的字符串加密。采用这种方式加密密码,查表法就不灵了(因为盐是随机生成的)。

 

(四) 在.NET中的实现

 

在.NET中,生成盐可以使用RNGCryptoServiceProvider类,当然也可以使用GUID。哈希函数的算法我们可以使用SHA(Secure Hash Algorithm)家族算法,当然哈希函数的算法有很多,比如你也可以采用MD5。这里顺便提一下,美国政府以前广泛采用SHA-1算法,在2005年被我国山东大学的王小云教授发现了安全漏洞,所以现在比较常用SHA-1加长的变种,比如SHA-256。在.NET中,可以使用SHA256Managed类。

 

下面来看一段代码演示如何在.NET中实现给密码加盐加密。加密后的密码保存在MySQL数据库中。

下面的代码演示如何注册一个新帐户。盐的生成可以使用新Guid,也可以使用RNGCryptoServiceProvider 类。将byte[]转换为string,可以使用Base64String(我在以前的博客中介绍过Base 64 Encoding 编码),也可以使用下面的ToHexString方法。

 

[csharp] view plain copy
 
  1. protected void ButtonRegister_Click(object sender, EventArgs e)   
  2. {   
  3.     string username = TextBoxUserName.Text;   
  4.     string password = TextBoxPassword.Text;   
  5.     // random salt   
  6.     string salt = Guid.NewGuid().ToString();  
  7.   
  8.     // random salt   
  9.     // you can also use RNGCryptoServiceProvider class              
  10.     //System.Security.Cryptography.RNGCryptoServiceProvider rng = new System.Security.Cryptography.RNGCryptoServiceProvider();   
  11.     //byte[] saltBytes = new byte[36];   
  12.     //rng.GetBytes(saltBytes);   
  13.     //string salt = Convert.ToBase64String(saltBytes);   
  14.     //string salt = ToHexString(saltBytes);   
  15.                    
  16.     byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);              
  17.     byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);  
  18.   
  19.     string hashString = Convert.ToBase64String(hashBytes);  
  20.   
  21.     // you can also use ToHexString to convert byte[] to string   
  22.     //string hashString = ToHexString(hashBytes);   
  23.       
  24.     var db = new TestEntities();   
  25.     usercredential newRecord = usercredential.Createusercredential(username, hashString, salt);   
  26.     db.usercredentials.AddObject(newRecord);   
  27.     db.SaveChanges();   
  28. }  
  29.   
  30.    
  31.   
  32. string ToHexString(byte[] bytes)   
  33. {   
  34.     var hex = new StringBuilder();   
  35.     foreach (byte b in bytes)   
  36.     {   
  37.         hex.AppendFormat("{0:x2}", b);   
  38.     }   
  39.     return hex.ToString();   
  40. }  


下面的代码演示了如何检验登录用户的密码是否正确。首先检验用户名是否存在,如果存在,获得该用户的盐,然后用该盐和用户输入的密码来计算哈希值,并和数据库中的哈希值进行比较。

 

 

[csharp] view plain copy
 
  1. protected void ButtonSignIn_Click(object sender, EventArgs e)   
  2. {   
  3.     string username = TextBoxUserName.Text;   
  4.     string password = TextBoxPassword.Text;  
  5.   
  6.     var db = new TestEntities();   
  7.     usercredential record = db.usercredentials.Where(x => string.Compare(x.UserName, username, true) == 0).FirstOrDefault();   
  8.     if (record == default(usercredential))   
  9.     {   
  10.         throw new ApplicationException("invalid user name and password");   
  11.     }  
  12.   
  13.     string salt = record.Salt;   
  14.     byte[] passwordAndSaltBytes = System.Text.Encoding.UTF8.GetBytes(password + salt);   
  15.     byte[] hashBytes = new System.Security.Cryptography.SHA256Managed().ComputeHash(passwordAndSaltBytes);   
  16.     string hashString = Convert.ToBase64String(hashBytes);  
  17.   
  18.     if (hashString == record.PasswordHash)   
  19.     {   
  20.         // user login successfully   
  21.     }   
  22.     else   
  23.     {   
  24.         throw new ApplicationException("invalid user name and password");   
  25.     }   
  26. }  


总结:单单使用哈希函数来为密码加密是不够的,需要为密码加盐来提高安全性,盐的长度不能过短,并且盐的产生应该是随机的。

分享到:
评论

相关推荐

    C#使用 Salt + Hash 来为密码加密

    本文主要介绍了几种常见的破解密码的方法,为密码加盐(Salt)以及在.NET中的实现等。具有一定的参考价值,下面跟着小编一起来看下吧

    使用 Salt + Hash 将密码加密后再存储进数据库

    (一) 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到...

    PasswordHashEncrypt:.NET C# 实现 Salt + Hash 密码加密,兼容 windows xp

    Salt + Hash 密码加密,兼容 windows xp ##为什么要用哈希函数来加密密码?## 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,直接将密码写入数据库中是极不安全的,因为任何可以打开...

    C# salt+hash 加密

    在IT领域,尤其是网络安全和数据保护方面,C# salt+hash加密是一种常用的方法,用于存储用户的敏感信息,如密码。这种技术确保即使数据库被泄露,攻击者也无法轻易地获取到原始密码,增加了密码的安全性。 首先,...

    salt_hash.zip_Node.js_密码加密与解密_密码加盐

    总的来说,这个项目展示了如何在Node.js环境中使用crypto模块实现密码的安全处理,包括加盐的哈希密码存储和非对称加密的数据保护。这两个技术在实际开发中对于保护用户信息安全至关重要。通过深入理解并熟练运用...

    Java常用的对密码加密的方法(MD5,SHA)

    Java作为一种广泛应用的编程语言,提供了多种密码加密方法来确保数据的安全性。本篇文章将详细介绍Java中两种常见的密码加密算法:MD5(Message-Digest Algorithm 5)和SHA(Secure Hash Algorithm)。我们将通过`...

    asp.net 密码加密实例

    当用户登录时,我们再次对输入的密码进行加密,与数据库中存储的密文进行比较。 三、MD5密码加密步骤 1. 导入库:在C#代码中,我们需要引用System.Security.Cryptography命名空间,其中包含MD5类。 ```csharp ...

    基于.NET的分布式系统用户密码加密方案设计

    3. **用户验证过程**:当用户登录时,系统同样会将输入的密码加上对应的盐值后进行哈希处理,然后与数据库中存储的哈希值进行对比,以验证用户身份的真实性。 #### 三、算法流程及核心代码 ##### 1. 密码加密流程 ...

    Winform中简单使用MD5加密用户登录密码示例代码.zip

    本示例代码聚焦于如何在WinForm应用程序中使用MD5(Message-Digest Algorithm 5)算法对用户登录密码进行加密,确保数据的安全性。 MD5是一种广泛使用的哈希函数,能够将任意长度的信息映射为固定长度的输出,通常...

    页面密码加密传输代码

    例如,使用JavaScript的Crypto API,用户输入的密码可以在浏览器中加密,然后以密文形式发送到服务器,进一步增强了安全性。 6. **盐值(Salt)**:在密码存储中,盐值是一种随机数据,与原始密码结合后再进行哈希...

    C# MD5加密登陆用户名称和密码.

    在登录系统中,为了保护用户的敏感信息如用户名和密码,通常会采用MD5等加密算法来存储这些数据,而不是明文保存。 MD5加密的基本原理是:输入的数据经过一系列复杂的数学运算后,生成一个128位的二进制数,通常以...

    30丨 安全性架构:为什么说用户密码泄漏是程序员的锅?.pdf

    使用单向散列加密、对称加密和非对称加密算法,可以保护用户密码的安全性,即使数据库被黑客拖库,也不会泄漏用户密码。但是,我们也需要注意,在实践中,使用加密算法加密,还需要在计算过程中加点“盐”,以增加...

    C/S 结构 实现记住密码功能 带加密和解密功能

    5. **安全性增强**:除了基本的加密,还可以使用额外的安全措施,比如盐值(Salt)和哈希(Hash)技术。盐值是随机数据,可以增加密码的复杂性,使相同的密码加密后结果不同;哈希是单向函数,即使密码被窃取也无法...

    crypt-md5源代码,这是linux里面最常用密码校验算法,利用salt和password和crypt函数生成hash值

    这个算法是基于MD5(Message-Digest Algorithm 5)哈希函数的,它通过结合salt(盐值)和用户输入的密码来生成一个加密的hash值,以保护用户密码不被轻易破解。在本文中,我们将深入探讨`crypt-md5`的工作原理、使用...

    用md5加密你的密码.rar

    在IT安全领域,密码的保护至关重要,而MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,常用于密码加密。C#作为一种强大的.NET编程语言,内置了支持MD5加密的类库,使得开发者可以轻松实现密码的加密...

Global site tag (gtag.js) - Google Analytics