深入密码加salt原理的分析


Posted in PHP onJune 06, 2013

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

下面以PHP示例,讲解md5($pass.$salt)加密函数。

<?php
function hash($a) {
    $salt=”Random_KUGBJVY”;  //定义一个salt值,程序员规定下来的随机字符串
    $b=$a.$salt;  //把密码和salt连接
    $b=md5($b);  //执行MD5散列
    return $b;  //返回散列    
}
?>

调用方式:$new_password=hash($_POST[password]);   //这里接受表单提交值,并进行加密
 
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

用户注册时,

用户输入【账号】和【密码】(以及其他用户信息);系统为用户生成【Salt值】;系统将【Salt值】和【用户密码】连接到一起;对连接后的值进行散列,得到【Hash值】;将【Hash值1】和【Salt值】分别放到数据库中。
用户登录时,

用户输入【账号】和【密码】;系统通过用户名找到与之对应的【Hash值】和【Salt值】;系统将【Salt值】和【用户输入的密码】连接到一起;对连接后的值进行散列,得到【Hash值2】(注意是即时运算出来的值);比较【Hash值1】和【Hash值2】是否相等,相等则表示密码正确,否则表示密码错误。
有时候,为了减轻开发压力,程序员会统一使用一个salt值(储存在某个地方),而不是每个用户都生成私有的salt值。

PHP 相关文章推荐
解析php通过cookies获取远程网页的指定代码
Jun 25 PHP
PHP与javascript实现变量交互的示例代码
Jul 23 PHP
PHP代码维护,重构变困难的4种原因分析
Jan 25 PHP
PHP 将数组打乱 shuffle函数的用法及简单实例
Jun 17 PHP
PHP获取文本框、密码域、按钮的值实例代码
Apr 19 PHP
PHP用户注册邮件激活账户的实现代码
May 31 PHP
PHP实现基于回溯法求解迷宫问题的方法详解
Aug 17 PHP
laravel migrate初学常见错误的解决方法
Oct 11 PHP
PHP registerXPathNamespace()函数讲解
Feb 03 PHP
PHP中Static(静态)关键字功能与用法实例分析
Apr 05 PHP
php版本CKEditor 4和CKFinder安装及配置方法图文教程
Jun 05 PHP
实例讲解PHP表单
Jun 10 PHP
深入理解PHP几个算法:PHP冒泡、PHP二分法、PHP求素数、PHP乘法表
Jun 06 #PHP
php定时计划任务的实现方法详解
Jun 06 #PHP
PHP使用DES进行加密与解密的方法详解
Jun 06 #PHP
php xml常用函数的集合(比较详细)
Jun 06 #PHP
PHP5函数小全(分享)
Jun 06 #PHP
解析php时间戳与日期的转换
Jun 06 #PHP
基于header的一些常用指令详解
Jun 06 #PHP
You might like
中国广播史趣谈 — 几个历史第一次
2021/03/01 无线电
一个php作的文本留言本的例子(六)
2006/10/09 PHP
PHP中使用curl入门教程
2015/07/02 PHP
Javascript 汉字字节判断
2009/08/01 Javascript
父子窗体间传递JSON格式的数据的代码
2010/12/25 Javascript
jQuery基本过滤选择器使用介绍
2013/04/18 Javascript
js实现仿Discuz文本框弹出层效果
2015/08/13 Javascript
XMLHttpRequest Level 2 使用指南
2016/08/26 Javascript
hovertree插件实现二级树形菜单(简单实用)
2016/12/28 Javascript
jQuery实现联动下拉列表查询框
2017/01/04 Javascript
初识 Vue.js 中的 *.Vue文件
2017/11/22 Javascript
详解js模板引擎art template数组渲染的方法
2018/10/09 Javascript
详解三种方式解决vue中v-html元素中标签样式
2018/11/22 Javascript
Nginx设置为Node.js的前端服务器方法总结
2019/03/27 Javascript
angula中使用iframe点击后不执行变更检测的问题
2020/05/10 Javascript
[02:57]DOTA2亚洲邀请赛 SECRET战队出场宣传片
2015/02/07 DOTA
[57:24]LGD vs VGJ.T 2018国际邀请赛小组赛BO2 第二场 8.16
2018/08/17 DOTA
[56:18]VGJ.S vs Secret 2018国际邀请赛小组赛BO2 第二场 8.16
2018/08/17 DOTA
python简单实现获取当前时间
2016/08/27 Python
Python 爬虫模拟登陆知乎
2016/09/23 Python
Python 模块EasyGui详细介绍
2017/02/19 Python
一个基于flask的web应用诞生(1)
2017/04/11 Python
Python数据结构与算法之使用队列解决小猫钓鱼问题
2017/12/14 Python
python IDLE 背景以及字体大小的修改方法
2019/07/12 Python
Pytorch之finetune使用详解
2020/01/18 Python
韩国保养品、日本药妆购物网:小三美日
2018/12/30 全球购物
工程造价专业大专生求职信
2013/10/06 职场文书
产品销售员岗位职责
2013/12/18 职场文书
旅游市场营销方案
2014/03/09 职场文书
舞蹈兴趣小组活动总结
2014/07/07 职场文书
证券公司客户经理岗位职责
2015/04/09 职场文书
只用40行Python代码就能写出pdf转word小工具
2021/05/31 Python
Python的代理类实现,控制访问和修改属性的权限你都了解吗
2022/03/21 Python
浅谈MySQL中的六种日志
2022/03/23 MySQL
SQL Server的存储过程与触发器以及系统函数和自定义函数
2022/04/10 SQL Server
MySQL索引失效十种场景与优化方案
2023/05/08 MySQL