首页 » PHP笔记 » 深入密码md5+salt原理的分析

深入密码md5+salt原理的分析

高蒙 2016/03/27 18:19 1.9k浏览 0评论 PHP


经常听说md5+salt的加密,一直都不怎么明白。今天我们就来浅析密码加密md5+salt的原理。

我们之前常用的MD5加密的方式,其实就是对密码进行散列,如果黑客获得这个密码散列值,可以通过查散列值字典(例如MD5密码破解网站),就可以得到某用户的密码。所以简单的md5加密还是不够的。

于是就给md5加Salt方法。salt方法在一定程度上缓解了这个问题。

所谓加Salt方法,就是加点“佐料”。

其基本想法是这样的:

  • 用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。
  • 当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的,并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

下面以PHP示例,讲解md5($pass.$salt)加密函数。

<?php
function hash($a) {
    $salt=”shuchengxian_KUGBJVY”;  //定义一个salt值,程序员规定下来的随机字符串
    $b=$a.$salt;  //把密码和salt连接
    $b=md5($b);  //执行MD5散列
    return $b;  //返回散列    
}
?>

调用方式:

$new_password=hash($_POST[password]);   //这里接受表单提交值,并进行加密

下面详细介绍一下加Salt散列的过程。介绍之前先强调一点,前面说过,验证密码时要使用和最初散列密码时使用“相同的”佐料。所以Salt值是要存放在数据库里的。

用户注册时:

用户输入【账号】和【密码】(以及其他用户信息);系统为用户生成【Salt值】;系统将【Salt值】和【用户密码】连接到一起;对连接后的值进行散列,得到【Hash值】;将【Hash值1】和【Salt值】分别放到数据库中。

用户登录时:

用户输入【账号】和【密码】;系统通过用户名找到与之对应的【Hash值】和【Salt值】;系统将【Salt值】和【用户输入的密码】连接到一起;对连接后的值进行散列,得到【Hash值2】(注意是即时运算出来的值);比较【Hash值1】和【Hash值2】是否相等,相等则表示密码正确,否则表示密码错误。

有时候,为了减轻开发压力,程序员会统一使用一个salt值(储存在某个地方),而不是每个用户都生成私有的salt值。

要想密码不那么的被人破解的建议:

  • 不同的网站不同的密码。
  • 密码要有复杂性,不要纯数字、字母,最好加符号。
  • 密码的位数,最好八位以上。
  • 不要用生日,纪念日等,让人熟知的信息做密码。

 

 



相关文章

我有话说

站长昵称:(*)

输入内容:

选个头像:

评论列表

    ...

    高蒙

    男, PHP程序猿

    文章

    485

    标签

    42

    热度

    10w+

    南京, 江苏, 中国

    人生要是没有理想, 那跟咸鱼有什么分别。