数据安全防护方案之数据库密码存储简介
在基于哈希加密的帐户系统中,一般用户注册和身份验证流程如下:
1、用户注册帐户。
2、密码存储在哈希加密的数据库中。只要将密码写入磁盘,就不能始终授予语句。
3、当用户登录时,将从数据库中提取密码,并通过哈希将其与用户输入进行比较。
4、如果哈希值相同,用户将获得登录权限,否则将通知输入的登录信息错误。
5、每当用户尝试登录时,重复上述两个步骤。
如果您直接解密密码,黑客可以从该密码中获得解密值,并找到解密值字典(如MD5密码解码网站)以获得用户密码。
数据安全防护方案之数据库密码存储措施
1、数据泄露:
如果QQ数据库信息泄露,所有QQ账户密码都以明文形式存储在数据库中。我们的帐户和密码信息也已流出。那么,获得这些信息的人自由登录我们的QQ号码有多可怕?或者,每个数据库都需要一名管理员,一名我们经常听到的DBA。他们所有的QQ用户名和密码都向他们公开,因为他们的业务也允许他们查看数据信息。如果网站的存储不合适,黑客就会受到攻击,密码也会泄露。业界通常称之为拖放库来窃取网站密码数据库。如果密码数据库崩溃,并且站点的密码数据库未加密,则您的密码将在黑客面前暴露。cssn密码泄漏门已以明文形式存储,但即使对网站进行了加密,也有被破解的危险。SQL注入是获取数据的一种手段。
2、随机字符串salt:
salt通常要求每个用户有一个固定长度的随机字符串。例如,一个包含十个位置的数据库可以通过这种方式保存。
用户名
-- ------------------------------------------------
ZP 1996
Glpvnhdt
加密方式:MD5(MD5(密码)+salt)
Gassalt可以在一定程度上解决这个问题。放盐的方法是放“调味品”。基本思想如下。当用户第一次提供密码(通常是注册的)时,系统会自动将“调味品”设置为密码并对其进行哈希运算。当用户登录时,系统将相同的“原材料”注入用户指定的代码,进行哈希运算,比较哈希值以确定密码是否正确。
时钟和彩虹时钟方案是有效的,因为所有密码都以相同的方式散列。如果两个用户使用相同的密码,则他们的密码哈希必须相同。我们可以随机化所有散列,两次获得相同的密码散列,获得不同的散列,并避免此类攻击。
具体地说,密码是将后缀直接作为前缀或前缀添加到哈希中。该前缀或前缀变为salt。如果添加了salt,则相同的密码对于每个哈希是完全不同的字符串。这些盐对于确定用户的密码是否正确也是必要的。因此,salt通常与哈希一起存储在数据库中,或者作为哈希字符串的一部分存储。你不必对盐保密。如果盐是随机的,请检查时钟,彩虹手表将无法工作。攻击者无法事先知道什么是salt,也无法事先计算查询表和彩虹表。如果所有用户使用不同的盐,反向时钟攻击将不会成功。
