背景:系統通常把用戶的密碼如MD5加密後,以密文形式保存在資料庫中,來防止黑客偷窺。
產生:隨著對MD5密文查詢工具的出現,而很多用戶的密碼又設定簡單,單純的對用戶密碼進行MD5加密後保存,用密文很容易就能反查詢得到某用戶的密碼。
原理:為用戶密碼添加Salt值,使得加密的得到的密文更加冷僻,不宜查詢。即使黑客有密文查詢到的值,也是加了salt值的密碼,而非用戶設定的密碼。salt值是隨機生成的一組字元串,可以包括隨機的大小寫字母、數字、字元,位數可以根據要求而不一樣。
用途:當用戶首次提供密碼時(通常是註冊時),由系統自動添加隨機生成的salt值,然後再散列。而當用戶登錄時,系統為用戶提供的代碼撒上同樣的加鹽值,然後散列,再比較散列值,已確定密碼是否正確。
其它:經過添加salt值處理的密碼,即使用戶設定的原密碼是相同的,資料庫中的密文卻是不同的。
1.背景:系統通常把用戶的密碼如MD5加密後,以密文形式保存在資料庫中,來防止黑客偷窺。
2.產生:隨著對MD5密文查詢工具的出現,而很多用戶的密碼又設定簡單,單純的對用戶密碼進行MD5加密後保存,用密文很容易就能反查詢得到某用戶的密碼。
3.原理:為用戶密碼添加Salt值,使得加密的得到的密文更加冷僻,不宜查詢。即使黑客有密文查詢到的值,也是加了salt值的密碼,而非用戶設定的密碼。salt值是隨機生成的一組字元串,可以包括隨機的大小寫字母、數字、字元,位數可以根據要求而不一樣。
4.用途:當用戶首次提供密碼時(通常是註冊時),由系統自動添加隨機生成的salt值,然後再散列。而當用戶登錄時,系統為用戶提供的代碼撒上同樣的加鹽值,然後散列,再比較散列值,已確定密碼是否正確。
5.其它:經過添加salt值處理的密碼,即使用戶設定的原密碼是相同的,資料庫中的密文卻是不同的。
