cc 你听说过“加盐”吗?这可不是指的炒菜,而是一种加密手段,那么什么是加盐?为什么要加盐呢?今天我们就来了解一下加盐加密吧。
什么是加盐?
在密码学中,通过在密码任意固定位置插入特定字符串,让散列后的结果和使用原始密码的散列结果不相符,这样一个过程我们称之为“加盐”。
“盐值”是一组随机的字符串,被称为Salt,由系统随机生成。Salt可以插在最前面、最后面,也可以插在中间,可分开插入也可倒序。
为什么要加盐?
在实际应用中,出于安全和数据保密的考虑,常常需要使用到加密算法,一些网站的数据库管理着用户的ID及密码。密码常以MD5等加密后的形式存在,但也并非万无一失。于是就出现了加盐加密的方式,这种加入盐值的方式可以有效防止黑客暴力破解用户ID和密码。
第一代密码:数据库明文存储,一旦数据库泄露,用户数据全部泄漏。
第二代密码:数据库加密存储,典型加密算法有 MD5 和 SHA1 ,数据库存储的密码为加密后的密文。理论上来说不能被解密,即使数据库丢失,但由于存储为密文,所以无法判断用户原始密码。
第三代密码:数据库存储MD5加密后的密码+Salt,进行加盐处理。当密码设置过于简单,第二代密码加密方式就不那么有效了,于是为数据库加入一个Salt盐值字段(Salt可以是任意字母、数字、或字母数字的组合,必须是随机产生的),每个用户Salt值均不相同。
加盐流程
用户注册时:
- 用户在网站注册时提供ID与密码;
- 系统为用户分配盐值;
- 盐值插入密码后进行HASH;
- 将ID,HASH值与盐值一起存入数据库。
身份验证时:
- 用户提供ID与密码;
- 系统在数据库中通过用户提供的ID查找HASH值与盐值;
- 将盐值插入用户提供的密码后进行HASH;
- 将HASH值与数据库中的HASH值比较,相等则验证成功,反之则验证失败。
免责声明:素材源于网络,如有侵权,请联系删稿。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
