深入密码加salt原理的分析


Posted in PHP onJune 06, 2013

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

下面以PHP示例,讲解md5($pass.$salt)加密函数。

<?php
function hash($a) {
    $salt=”Random_KUGBJVY”;  //定义一个salt值,程序员规定下来的随机字符串
    $b=$a.$salt;  //把密码和salt连接
    $b=md5($b);  //执行MD5散列
    return $b;  //返回散列    
}
?>

调用方式:$new_password=hash($_POST[password]);   //这里接受表单提交值,并进行加密
 
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

用户注册时,

用户输入【账号】和【密码】(以及其他用户信息);系统为用户生成【Salt值】;系统将【Salt值】和【用户密码】连接到一起;对连接后的值进行散列,得到【Hash值】;将【Hash值1】和【Salt值】分别放到数据库中。
用户登录时,

用户输入【账号】和【密码】;系统通过用户名找到与之对应的【Hash值】和【Salt值】;系统将【Salt值】和【用户输入的密码】连接到一起;对连接后的值进行散列,得到【Hash值2】(注意是即时运算出来的值);比较【Hash值1】和【Hash值2】是否相等,相等则表示密码正确,否则表示密码错误。
有时候,为了减轻开发压力,程序员会统一使用一个salt值(储存在某个地方),而不是每个用户都生成私有的salt值。

PHP 相关文章推荐
PHP 变量定义和变量替换的方法
Jul 30 PHP
php遍历数组的方法分享
Mar 22 PHP
php实现把数组按指定的个数分隔
Feb 17 PHP
php CI框架插入一条或多条sql记录示例
Jul 29 PHP
Yii配置文件用法详解
Dec 04 PHP
PHP中调用C/C++制作的动态链接库的教程
Mar 10 PHP
PHP编写学校网站上新生注册登陆程序的实例分享
Mar 21 PHP
Joomla数据库操作之JFactory::getDBO用法
May 05 PHP
thinkPHP内置字符串截取函数用法详解
Nov 15 PHP
PHP preg_match实现正则表达式匹配功能【输出是否匹配及匹配值】
Jul 19 PHP
yii2.0框架场景的简单使用示例
Jan 25 PHP
解决Laravel使用验证时跳转到首页的问题
Nov 17 PHP
深入理解PHP几个算法:PHP冒泡、PHP二分法、PHP求素数、PHP乘法表
Jun 06 #PHP
php定时计划任务的实现方法详解
Jun 06 #PHP
PHP使用DES进行加密与解密的方法详解
Jun 06 #PHP
php xml常用函数的集合(比较详细)
Jun 06 #PHP
PHP5函数小全(分享)
Jun 06 #PHP
解析php时间戳与日期的转换
Jun 06 #PHP
基于header的一些常用指令详解
Jun 06 #PHP
You might like
基于flush()不能按顺序输出时的解决办法
2013/06/29 PHP
ThinkPHP CURD方法之page方法详解
2014/06/18 PHP
详解WordPress中添加和执行动作的函数使用方法
2015/12/29 PHP
PHP实现批量检测网站是否能够正常打开的方法
2016/08/23 PHP
Some tips of wmi scripting in jscript (1)
2007/04/03 Javascript
node.js chat程序如何实现Ajax long-polling长链接刷新模式
2012/03/13 Javascript
js加强的经典分页实例
2013/03/15 Javascript
21个值得收藏的Javascript技巧
2014/02/04 Javascript
Html5的placeholder属性(IE兼容)实现代码
2014/08/30 Javascript
js解决select下拉选不中问题
2014/10/14 Javascript
javaScript中push函数用法实例分析
2015/06/08 Javascript
js判断数组key是否存在(不用循环)的简单实例
2016/08/03 Javascript
简单几步实现返回顶部效果
2016/12/05 Javascript
Vue.js常用指令的使用小结
2017/06/23 Javascript
利用chrome浏览器进行js调试并找出元素绑定的点击事件详解
2021/01/30 Javascript
Javascript原生ajax请求代码实例
2020/02/20 Javascript
Postman参数化实现过程及原理解析
2020/08/13 Javascript
[03:33]TI9战队采访 - Infamous
2019/08/20 DOTA
Pyramid Mako模板引入helper对象的步骤方法
2013/11/27 Python
Python、Javascript中的闭包比较
2015/02/04 Python
python更新列表的方法
2015/07/28 Python
深入理解Python中字典的键的使用
2015/08/19 Python
Python基础教程之正则表达式基本语法以及re模块
2016/03/25 Python
利用Python破解斗地主残局详解
2017/06/30 Python
Python抓取聚划算商品分析页面获取商品信息并以XML格式保存到本地
2018/02/23 Python
Pycharm更换python解释器的方法
2018/10/29 Python
python使用装饰器作日志处理的方法
2019/07/11 Python
python GUI库图形界面开发之PyQt5信号与槽机制、自定义信号基础介绍
2020/02/25 Python
Python提取视频中图片的示例(按帧、按秒)
2020/10/22 Python
Opencv 图片的OCR识别的实战示例
2021/03/02 Python
HTML5 canvas画矩形时出现边框样式不一致的解决方法
2013/10/14 HTML / CSS
庆中秋节主题活动方案
2014/02/03 职场文书
励志演讲稿300字
2014/08/21 职场文书
生日答谢词
2015/01/05 职场文书
原料仓管员岗位职责
2015/04/01 职场文书
毕业实习感受与体会
2015/05/26 职场文书