日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
MD5加密安全嗎?

MD5 是 Message Digest Algorithm 的縮寫,譯為信息摘要算法,它是 Java 語言中使用很廣泛的一種加密算法。MD5 可以將任意字符串,通過不可逆的字符串變換算法,生成一個(gè)唯一的 MD5 信息摘要,這個(gè)信息摘要也就是我們通常所說的 MD5 字符串。那么問題來了,MD5 加密安全嗎?

這道題看似簡單,其實(shí)是一道送命題,很多人尤其是一些新入門的同學(xué)會覺得,安全啊,MD5 首先是加密的字符串,其次是不可逆的,所以它一定是安全的。如果你這樣回答,那么就徹底掉進(jìn)面試官給你挖好的坑了。

為什么呢?因?yàn)榇鸢甘恰安话踩?,而不是“安全”?/p>

1.彩虹表

MD5 之所以說它是不安全的,是因?yàn)槊恳粋€(gè)原始密碼都會生成一個(gè)對應(yīng)的固定密碼,也就是說一個(gè)字符串生成的 MD5 值是永遠(yuǎn)不變的。這樣的話,雖然它是不可逆的,但可以被窮舉,而窮舉的“產(chǎn)品”就叫做彩虹表。

什么是彩虹表?

彩虹表是一個(gè)用于加密散列函數(shù)逆運(yùn)算的預(yù)先計(jì)算好的表, 為破解密碼的散列值(或稱哈希值、微縮圖、摘要、指紋、哈希密文)而準(zhǔn)備。一般主流的彩虹表都在 100G 以上。這樣的表常常用于恢復(fù)由有限集字符組成的固定長度的純文本密碼。這是空間/時(shí)間替換的典型實(shí)踐,比每一次嘗試都計(jì)算哈希的暴力破解處理時(shí)間少而儲存空間多,但卻比簡單的對每條輸入散列翻查表的破解方式儲存空間少而處理時(shí)間多。

簡單來說,彩虹表就是一個(gè)很大的,用于存放窮舉對應(yīng)值的數(shù)據(jù)表。以 MD5 為例,“1”的 MD5 值是“C4CA4238A0B923820DCC509A6F75849B”,而“2”的 MD5 值是“C81E728D9D4C2F636F067F89CC14862C”,那么就會有一個(gè) MD5 的彩虹表是這樣的:

原始值

加密值

1

C4CA4238A0B923820DCC509A6F75849B

2

C81E728D9D4C2F636F067F89CC14862C

...

...

大家想想,如果有了這張表之后,那么我就可以通過 MD5 的密文直接查到原始密碼了,所以說數(shù)據(jù)庫如果只使用 MD5 加密,這就好比用了一把插了鑰匙的鎖一樣不安全。

2.解決方案

想要解決以上問題,我們需要引入“加鹽”機(jī)制。

鹽(Salt):在密碼學(xué)中,是指通過在密碼任意固定位置插入特定的字符串,讓散列后的結(jié)果和使用原始密碼的散列結(jié)果不相符,這種過程稱之為“加鹽”。

說的通俗一點(diǎn)“加鹽”就像炒菜一樣,放不同的鹽,炒出菜的味道就是不同的,咱們之前使用 MD5 不安全的原因是,每個(gè)原始密碼所對應(yīng)的 MD5 值都是固定的,那我們只需要讓密碼每次通過加鹽之后,生成的最終密碼都不同,這樣就能解決加密不安全的問題了。

3.實(shí)現(xiàn)代碼

加鹽是一種手段、是一種解決密碼安全問題的思路,而它的實(shí)現(xiàn)手段有很多種,我們可以使用框架如 Spring Security 提供的 BCrypt 進(jìn)行加鹽和驗(yàn)證,當(dāng)然,我們也可以自己實(shí)現(xiàn)加鹽的功能。

本文為了讓大家更好的理解加鹽的機(jī)制,所以我們自己來動(dòng)手來實(shí)現(xiàn)一下加鹽的功能。

實(shí)現(xiàn)加鹽機(jī)制的關(guān)鍵是在加密的過程中,生成一個(gè)隨機(jī)的鹽值,而且隨機(jī)鹽值盡量不要重復(fù),這時(shí),我們就可以使用 Java 語言提供的 UUID(Universally Unique Identifier,通用唯一識別碼)來作為鹽值,這樣每次都會生成一個(gè)不同的隨機(jī)鹽值,且永不重復(fù)。

加鹽的實(shí)現(xiàn)代碼如下:

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;
import java.util.UUID;

public class PasswordUtil {
    /**
     * 加密(加鹽處理)
     * @param password 待加密密碼(需要加密的密碼)
     * @return 加密后的密碼
     */
    public static String encrypt(String password) {
        // 隨機(jī)鹽值 UUID
        String salt = UUID.randomUUID().toString().replaceAll("-", "");
        // 密碼=md5(隨機(jī)鹽值+密碼)
        String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        return salt + "$" + finalPassword;
    }
}

從上述代碼我們可以看出,加鹽的實(shí)現(xiàn)具體步驟是:

  • 使用 UUID 產(chǎn)生一個(gè)隨機(jī)鹽值;
  • 將隨機(jī)鹽值 + 原始密碼一起 MD5,產(chǎn)生一個(gè)新密碼(相同的原始密碼,每次都會生成一個(gè)不同的新密碼);
  • 將隨機(jī)鹽值 + "$"+上一步生成的新密碼加在一起,就是最終生成的密碼。
  • 那么,問題來了,既然每次生成的密碼都不同,那么怎么驗(yàn)證密碼是否正確呢?

要驗(yàn)證密碼是否正確的關(guān)鍵是需要先獲取鹽值,然后再使用相同的加密方式和步驟,生成一個(gè)最終密碼和和數(shù)據(jù)庫中保存的加密密碼進(jìn)行對比,具體實(shí)現(xiàn)代碼如下:

import org.springframework.util.DigestUtils;
import org.springframework.util.StringUtils;
import java.util.UUID;

public class PasswordUtil {
    /**
     * 加密(加鹽處理)
     * @param password 待加密密碼(需要加密的密碼)
     * @return 加密后的密碼
     */
    public static String encrypt(String password) {
        // 隨機(jī)鹽值 UUID
        String salt = UUID.randomUUID().toString().replaceAll("-", "");
        // 密碼=md5(隨機(jī)鹽值+密碼)
        String finalPassword = DigestUtils.md5DigestAsHex((salt + password).getBytes());
        return salt + "$" + finalPassword;
    }

    /**
     * 解密
     * @param password       要驗(yàn)證的密碼(未加密)
     * @param securePassword 數(shù)據(jù)庫中的加了鹽值的密碼
     * @return 對比結(jié)果 true OR false
     */
    public static boolean decrypt(String password, String securePassword) {
        boolean result = false;
        if (StringUtils.hasLength(password) && StringUtils.hasLength(securePassword)) {
            if (securePassword.length() == 65 && securePassword.contains("$")) {
                String[] securePasswordArr = securePassword.split("\\$");
                // 鹽值
                String slat = securePasswordArr[0];
                String finalPassword = securePasswordArr[1];
                // 使用同樣的加密算法和隨機(jī)鹽值生成最終加密的密碼
                password = DigestUtils.md5DigestAsHex((slat + password).getBytes());
                if (finalPassword.equals(password)) {
                    result = true;
                }
            }
        }
        return result;
    }
}

總結(jié)

只是簡單的使用 MD5 加密是不安全的,因?yàn)槊總€(gè)字符串都會生成固定的密文,那么我們就可以使用彩虹表將密文還原出來,所以它不是安全的。想要解決這個(gè)問題,我們需要通過加鹽的手段,每次生成一個(gè)不同的密碼,就把這個(gè)問題解決了。


分享文章:MD5加密安全嗎?
URL分享:http://www.dlmjj.cn/article/djogios.html