距开课0天0时0分-10219211秒
伊谢尔伦2017-04-17 14:45:14 0 9 508
[Java讨论组]举报回复话题 ↕
小弟需要写一个用户登录的模块,现在已经完成了...但是由于密码是明文存在数据库的,
现在需要改为md5 加密,然后登录,希望给为前辈给点指导,最好是有源码的,谢谢。(关于为什么用md5,之前也了解过一点,登录加密的用这最好。如果你们有更好的加密方式,也欢迎提出来)。
9
0
分享
伊谢尔伦 2017-04-17 14:47:149楼
$salt = sha1(uniqid(mt_rand(), true)); $pwd_db = sha1($salt.sha1($pwd_user));
$salt是用户注册时生成一个随机盐值.$pwd_db是数据库保存的加盐的密码哈希.$salt和$pwd_db都存到用户表中.其中:uniqid获取一个带前缀(mt_rand),末尾带熵(true),基于当前时间微秒数的唯一编号.mt_rand用于生成更好的随机数.sha1生成的字符串的长度是40位,字段类型可以设为char(40).
赞 +0添加回复
黄舟 2017-04-17 14:47:148楼
加salt现在主流的用户密码加密都要加salt, 因为md5的rainbow table已经包括绝大多数11位一下的"弱密码"了.而且随着多个大型网站的数据泄漏. md5被爆破的风险更大了. 甚者可以用md5的hash来找到一个人的常用网站.
伪代码:
md5(password + salt)
巴扎黑 2017-04-17 14:47:147楼
Java里没有md5相关的包吗?反正PHP一个函数md5()就搞定了^﹏^
怪我咯 2017-04-17 14:47:146楼
用md5没有什么问题,也是业内常用方案。需要注意的一点是在对密码进行md5加密之前,最好进行加盐操作,否则弱密码的安全性是极差的。
巴扎黑 2017-04-17 14:47:145楼
看看 Web应用的安全登录认证,虽然是 C# 的,Java 类似。
小皮 2017-04-17 14:47:144楼
楼主只说数据库中不要存放明文,就是网数据库存的时候调用一下加密方法存进去不就可以了么?加密方法前端后端都有。
小皮 2017-04-17 14:47:143楼
就像 savokiss 所述的md5(md5(password)+salt) 已经是比较好的方案了。要更高安全性可以考虑 Bcrypt 之类的。盐最好不要只是重复的字符串,用 id, username, timestamp 等都不错。
md5(md5(password)+salt)
ringa_lee 2017-04-17 14:47:142楼
要加盐~要加盐~要加盐~重要的事情说三遍。
黄舟 2017-04-17 14:47:141楼
dz里用的:
salt就是盐,可以全局一样也可以每个用户唯一,是数据库里的一个字段
md5不可逆,但是可以字典穷举,所以单层md5穷举破解很容易,而加了盐只知道你加密后的密码不知道盐也没用咯
其他加密方式可以看下破解md5的那个网站,网站名就不说了
伊谢尔伦 2017-04-17 14:47:149楼
$salt是用户注册时生成一个随机盐值.
$pwd_db是数据库保存的加盐的密码哈希.
$salt和$pwd_db都存到用户表中.
其中:
uniqid获取一个带前缀(mt_rand),末尾带熵(true),基于当前时间微秒数的唯一编号.
mt_rand用于生成更好的随机数.
sha1生成的字符串的长度是40位,字段类型可以设为char(40).
赞 +0添加回复
黄舟 2017-04-17 14:47:148楼
加salt
现在主流的用户密码加密都要加salt, 因为md5的rainbow table已经包括绝大多数11位一下的"弱密码"了.
而且随着多个大型网站的数据泄漏. md5被爆破的风险更大了. 甚者可以用md5的hash来找到一个人的常用网站.
伪代码:
赞 +0添加回复
巴扎黑 2017-04-17 14:47:147楼
Java里没有md5相关的包吗?反正PHP一个函数md5()就搞定了^﹏^
赞 +0添加回复
怪我咯 2017-04-17 14:47:146楼
用md5没有什么问题,也是业内常用方案。
需要注意的一点是在对密码进行md5加密之前,最好进行加盐操作,否则弱密码的安全性是极差的。
赞 +0添加回复
巴扎黑 2017-04-17 14:47:145楼
看看 Web应用的安全登录认证,虽然是 C# 的,Java 类似。
赞 +0添加回复
小皮 2017-04-17 14:47:144楼
楼主只说数据库中不要存放明文,就是网数据库存的时候调用一下加密方法存进去不就可以了么?
加密方法前端后端都有。
赞 +0添加回复
小皮 2017-04-17 14:47:143楼
就像 savokiss 所述的
md5(md5(password)+salt)已经是比较好的方案了。要更高安全性可以考虑 Bcrypt 之类的。
盐最好不要只是重复的字符串,用 id, username, timestamp 等都不错。
赞 +0添加回复
ringa_lee 2017-04-17 14:47:142楼
要加盐~要加盐~要加盐~重要的事情说三遍。
赞 +0添加回复
黄舟 2017-04-17 14:47:141楼
dz里用的:
salt就是盐,可以全局一样也可以每个用户唯一,是数据库里的一个字段
md5不可逆,但是可以字典穷举,所以单层md5穷举破解很容易,而加了盐只知道你加密后的密码不知道盐也没用咯
其他加密方式可以看下破解md5的那个网站,网站名就不说了
赞 +0添加回复