千图素材网站,吉林省建设项目信息网,网站视频制作,徐州网站开发设计公司电话博主#xff0c;开始时候#xff0c;写的web应用#xff0c;数据库中的密码#xff0c;都是直接保存的。真正的原汁原味#xff0c;真正的所见即所得。 后来#xff0c;看了别人的web应用都是MD5加密的#xff0c;感觉很不错#xff0c;自己也在应用中加入了MD5加密开始时候写的web应用数据库中的密码都是直接保存的。真正的原汁原味真正的所见即所得。 后来看了别人的web应用都是MD5加密的感觉很不错自己也在应用中加入了MD5加密貌似“不可逆”的哈哈看起来也专业了许多后来听说CSDN用户信息被***窃取了自己也赶紧去换了密码。 今天无意间看了http://howe.im/探微·智在未来的一篇博文《安全密码机制salt机制》才知道了单纯使用MD5加密也是不安全的这里简单说下所读博文的内容和自己的一点认识吧。     首先解释下为什么单纯MD5加密是不安全的我们暂且不论MD5是否可以由密文推出明文有32位密文计算出加密前的密码也不论用户的密码是否符合很高的安全性加入大小写字母、数字、特殊字符等当***窃取一个大型网站的数据库信息后通过MD5加密而非解密方法不断加密一些密码如123abc加密后A906449D5769FA7361D7ECC6AA3F6D28在数据库中搜索是否存在匹配密文如果存在则相应的用户密码就被破解了。不断的穷举密码加密匹配。这个速度是很快的MD5加密很快数据库匹配可以优化。     然后说下博文中介绍的salt机制。     1、用户注册时     用户注册密码A、客户端生成一个随机码B将两者组合到一起然后MD5加密为C将随机码B和加密后的C两者分开提交到服务器保存到数据库。     2、用户登录时     用户只需要提交密码提交到服务器后将密码和该用户数据库中保存的随机码组合然后MD5加密验证即可。 问题这里有一个漏洞那就是用户登录时提交的密码如果是明文那么很容易被恶意获取。用户提交的信息是有必要加密的这才是负责任的。 我看了另外一边博文介绍了腾讯的朋友网它是怎么加密提交信息的这里简单说下。     1、将用户密码A加密了三次B然后与验证码字符C组合然后进行一次MD5加密成密文D提交到服务器这里注意提交是不包含验证码C的因为验证码C是服务器生成提前发送到Client端的。服务器端借助验证码C和用户提交来的密文D获得密码进行后续的验证。 这里又有一个问题了说好的MD5一般人是没法破解的呢怎么这里有这个破解步骤呢其实这是我臆想的步骤可能它没有破解的我为什么要破解的我是想将这两部分整合所以破解如果朋友网没有用salt的加密机制那么就不需要获得密码A了哈哈……说的很乱。 总之可以采取的方案如下 1、服务器端用户注册时保存 随机码A 和 密码B随机码A进行MD5加密密文C 2、提交注册或登录信息时客户端提交密码M验证码N进行可逆的方法加密密文O服务器端保存有验证码N故而可以逆向运算获得密码M然后提取数据库中的随机码A组合后进行MD5加密与数据库验证。注虽然密文O是可逆的运算但是在提交过程中是不包括验证码N的加上比较独特的加密算法基本可以保证安全了呵呵除非服务器端到用户端传输的报文也被截获了那就没办法了。话说回来就算获得了密码那个注册时候生成的随机码A也是很难获得的。   转载于:https://blog.51cto.com/ijustdoit/1175635