众所周知,MD5加密是不可逆的,但实际上我们平时的值的MD5算法,黑客的目前破解率相对较高,也有很多网站上干脆就提供批量解密MD5的服务,当然是收费的。http://www.xmd5.org,这里提供一个网址供大家试试。
目前得知的MD5的破解方式一般是采用保存大量 密码与MD5解密后的值的对应关系,随着这种解密库的数据量越来越庞大,MD5的破解率则会呈上升趋势,那如何防止MD5或者一些其他加密手段的破解呢?
这里提到一个算法,叫做“salt”算法,也就是我们平时叫做“加盐”的一种算法,那它的原理是什么呢?就是将自己设定的密码,加上一个程序员设定的参数,进行组合后,再通过MD5等手段进行解密。这样,加密后的值黑客撞击的难度就大大增大了。
比如说,我设置的密码是123456,这种密码即便被加密成MD5,被破解也是分分钟的事儿。那么我们可以将123456+邮箱名的后10位,这样就会变成[email protected],再将这个字符串进行加密,就安全多了。
下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。
用户注册时,
- 用户输入【账号】和【密码】(以及其他用户信息);
- 系统为用户生成【Salt值】;
- 系统将【Salt值】和【用户密码】连接到一起;
- 对连接后的值进行散列,得到【Hash值】;
- 将【Hash值1】和【Salt值】分别放到数据库中。
用户登录时,
- 用户输入【账号】和【密码】;
- 系统通过用户名找到与之对应的【Hash值】和【Salt值】;
- 系统将【Salt值】和【用户输入的密码】连接到一起;
- 对连接后的值进行散列,得到【Hash值2】(注意是即时运算出来的值);
- 比较【Hash值1】和【Hash值2】是否相等,相等则表示密码正确,否则表示密码错误。
有时候,为了减轻开发压力,程序员会统一使用一个salt值(储存在某个地方),而不是每个用户都生成私有的salt值。
从网上找了一段代码,参照一下:
// 对密码进行加盐后加密,加密后再通过Hibernate往数据库里存 String changedPswd=DigestUtils.md5Hex(name+pswd);
时间: 2024-10-28 11:50:20