深入密码加salt原理的分析


Posted in PHP onJune 06, 2013

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

下面以PHP示例,讲解md5($pass.$salt)加密函数。

<?php
function hash($a) {
    $salt=”Random_KUGBJVY”;  //定义一个salt值,程序员规定下来的随机字符串
    $b=$a.$salt;  //把密码和salt连接
    $b=md5($b);  //执行MD5散列
    return $b;  //返回散列    
}
?>

调用方式:$new_password=hash($_POST[password]);   //这里接受表单提交值,并进行加密
 
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

用户注册时,

用户输入【账号】和【密码】(以及其他用户信息);系统为用户生成【Salt值】;系统将【Salt值】和【用户密码】连接到一起;对连接后的值进行散列,得到【Hash值】;将【Hash值1】和【Salt值】分别放到数据库中。
用户登录时,

用户输入【账号】和【密码】;系统通过用户名找到与之对应的【Hash值】和【Salt值】;系统将【Salt值】和【用户输入的密码】连接到一起;对连接后的值进行散列,得到【Hash值2】(注意是即时运算出来的值);比较【Hash值1】和【Hash值2】是否相等,相等则表示密码正确,否则表示密码错误。
有时候,为了减轻开发压力,程序员会统一使用一个salt值(储存在某个地方),而不是每个用户都生成私有的salt值。

PHP 相关文章推荐
PHP 一个比较完善的简单文件上传
Mar 25 PHP
php中3des加密代码(完全与.net中的兼容)
Aug 02 PHP
PHP分页详细讲解(有实例)
Oct 30 PHP
destoon安装出现Internal Server Error的解决方法
Jun 21 PHP
php开发微信支付获取用户地址
Oct 04 PHP
php检查页面是否被百度收录
Oct 28 PHP
PHP计算日期相差天数实例分析
Feb 23 PHP
PHP数组生成XML格式数据的封装类实例
Nov 10 PHP
php 遍历目录,生成目录下每个文件的md5值并写入到结果文件中
Dec 12 PHP
wordpress网站转移到本地运行测试的方法
Mar 15 PHP
PHP实现的数组和XML文件相互转换功能示例
Mar 15 PHP
PHP生成zip压缩包的常用方法示例
Aug 22 PHP
深入理解PHP几个算法:PHP冒泡、PHP二分法、PHP求素数、PHP乘法表
Jun 06 #PHP
php定时计划任务的实现方法详解
Jun 06 #PHP
PHP使用DES进行加密与解密的方法详解
Jun 06 #PHP
php xml常用函数的集合(比较详细)
Jun 06 #PHP
PHP5函数小全(分享)
Jun 06 #PHP
解析php时间戳与日期的转换
Jun 06 #PHP
基于header的一些常用指令详解
Jun 06 #PHP
You might like
PHP 命令行参数详解及应用
2011/05/18 PHP
php中使用PHPExcel读写excel(xls)文件的方法
2014/09/15 PHP
PHP框架Laravel的小技巧两则
2015/02/10 PHP
php获取微信共享收货地址的方法
2017/12/21 PHP
详细解读php的命名空间(一)
2018/02/21 PHP
PHP调用接口API封装的例子
2019/10/11 PHP
firefox中JS读取XML文件
2006/12/21 Javascript
$.ajax返回的JSON无法执行success的解决方法
2011/09/09 Javascript
HTTP 304错误的详细讲解
2013/11/13 Javascript
javascript判断移动端访问设备并解析对应CSS的方法
2015/02/05 Javascript
JQuery的ON()方法支持的所有事件罗列
2015/02/28 Javascript
jQuery实现form表单元素序列化为json对象的方法
2015/12/09 Javascript
JS中判断null的方法分析
2016/11/21 Javascript
JavaScript日期选择功能示例
2017/01/16 Javascript
使用nodejs下载风景壁纸
2017/02/05 NodeJs
Vue.js学习笔记之修饰符详解
2017/07/25 Javascript
微信小程序实现image组件图片自适应宽度比例显示的方法
2018/01/16 Javascript
在Vue中使用echarts的方法
2018/02/05 Javascript
详解angular2如何手动点击特定元素上的点击事件
2018/10/16 Javascript
基于Fixed定位的框选功能的实现代码
2019/05/13 Javascript
javascript面向对象三大特征之多态实例详解
2019/07/24 Javascript
jquery 回调操作实例分析【回调成功与回调失败的情况】
2019/09/27 jQuery
JavaScript遍历数组的方法代码实例
2020/01/14 Javascript
python的描述符(descriptor)、装饰器(property)造成的一个无限递归问题分享
2014/07/09 Python
Python中使用strip()方法删除字符串中空格的教程
2015/05/20 Python
python 美化输出信息的实例
2018/10/15 Python
梵蒂冈和罗马卡:Omnia Card Pass
2018/02/10 全球购物
美国最大的烧烤架和户外生活用品专业零售商:Barbeques Galore
2021/01/09 全球购物
Agoda中文官网:安可达(低价预订全球酒店)
2021/01/18 全球购物
Java中会存在内存泄漏吗,请简单描述
2016/12/22 面试题
学校出纳员岗位职责
2014/03/18 职场文书
党员领导干部承诺书
2014/05/28 职场文书
党员演讲稿
2014/09/04 职场文书
党员群众路线剖析材料
2014/10/08 职场文书
高校教师个人工作总结2014
2014/12/17 职场文书
行政上诉状范文
2015/05/23 职场文书