首页 > 代码库 > 关于数据库中密码的存储
关于数据库中密码的存储
很多系统都是将密码进行一次 MD5 或 SHA1 Hash后存入数据库中。这样的密码抵挡不住字典攻击。所谓字典攻击,就是将常用密码进行Hash后做成一个字典,破解的时候,只需要查字典就能知道对应的明文密码。
为了抵御字典攻击,推荐的做法是使用 密码 + 盐(一串随机数) 再Hash的方式。每个密码对应一个不同的随机数。这个方法,实际上是将密码人为地拓展了N位,导致密码长度大增,使得攻击者无法构造这么大的一个字典。
使用 密码 + 随机串 的方式保存的密码就一定不能破解吗?设想这种方式的数据库表中一定有两列,一列保存 随机串,另一列保存 密码 + 随机串 的Hash值。如果攻击者拿到这个数据库,会怎样做呢?他可以对每一个密码构建一个字典,然后再查字典破解。实际上,要破解一个密码所构造的字典并不很大,跟不用随机串是一样的!只不过这字典是一次性字典。
破解每一个密码都要构造一个字典,虽然较慢,但并不是不可能。
因此,最终的解决方案还是回归到限制密码最小长度和使用复杂密码上来。
关于数据库中密码的存储
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。