如何正确实行密码验证
发布时间:2022-06-14 20:02:23 所属栏目:安全 来源:互联网
导读:网络安全问题日益严重,即使是大型知名企业也面临敏感用户数据泄露的问题。这些问题可能包括对数据库的未经授权的访问以及日志的泄露等等。此外,我们也经常遇到零日漏洞攻击(Zero-Day Vulnerabilities),所有这些都对用户自身安全和企业声誉产生了负面影
|
网络安全问题日益严重,即使是大型知名企业也面临敏感用户数据泄露的问题。这些问题可能包括对数据库的未经授权的访问以及日志的泄露等等。此外,我们也经常遇到零日漏洞攻击(Zero-Day Vulnerabilities),所有这些都对用户自身安全和企业声誉产生了负面影响。本文将介绍如何使用密码认证来实现用户认证的数据存储。 一、身份验证 身份验证是用户确认他是所提供标识符的所有者的过程。最明显和人们最熟悉的身份验证过程是密码身份验证。用户进入登录页面,输入用户名和密码,然后登录。下文将展示如何在服务器上实现身份验证。 那么,用户注册时如何保存认证数据呢? 1.将密码存储为纯文本 在这种情况下,数据库中的数据将作为开放数据存储。任何有权访问数据库的人都可以获取用户的密码,比如数据库管理员、支持人员或开发人员。此外,系统中始终存在漏洞风险,可能允许入侵者访问数据库且进行下载和转存。 2.密码哈希 哈希算法是根据用户密码计算数字摘要的特定函数。该函数的工作原理是可以足够快地从密码中获取哈希值,而无法在足够的时间内完成反向转换。哈希函数有MD5、SHA-1、SHA-256 、SH3-512等。使用这些函数,我们保存到数据库中的不是密码本身,而是使用哈希函数从密码中计算出来的数值摘要值。例如,在 Java 中,使用如下所示操作获取密码的哈希值: 复制 String password = "pa$$word"; MessageDigest md = MessageDigest.getInstance("SHA-256"); byte[] digest = md.digest(password.getBytes()); String hash = new BigInteger(1, digest).toString(16); 这个变体已经好很多了,但它仍有缺点。其中之一是具有相同密码的用户将具有相同的哈希值。如果入侵者获得对数据库的访问权,他就可以根据自己的目的使用数据,同时暴力破解密码的可能性也相当危险。你可以使用流行的密码和哈希来创建数据库(或使用现有数据库),因此可以快速恢复用户密码的值。这也是不推荐这一选项的原因。 3.使用唯一盐(Salt)的密码哈希 针对前一个解决方案的痛点,我们可以使用每个用户唯一的盐。盐是与密码连接的随机值,并从结果中获取哈希函数。 复制 String password = "pa$$word"; String salt = "b0f57dccf7133f7ef3acb09641e5f7a3"; MessageDigest md = MessageDigest.getInstance("SHA-256"); byte[] digest = md.digest((password + salt).getBytes()); String hash = new BigInteger(1, digest).toString(16) 4.特殊算法 PBKDF2、BCrypt、SCrypt 最好的选择是使用为散列密码开发的特殊算法。这些算法是自适应的,可以有意让计算时间放慢,以使暴力攻击更加困难。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号