码迷,mamicode.com
首页 > 数据库 > 详细

关于数据库中密码的存储

时间:2014-10-31 23:32:38      阅读:260      评论:0      收藏:0      [点我收藏+]

标签:使用   sp   数据   bs   as   数据库   nbsp   方法   不同的   

很多系统都是将密码进行一次 MD5 或 SHA1 Hash后存入数据库中。这样的密码抵挡不住字典攻击。所谓字典攻击,就是将常用密码进行Hash后做成一个字典,破解的时候,只需要查字典就能知道对应的明文密码。

 

为了抵御字典攻击,推荐的做法是使用 密码 + 盐(一串随机数) 再Hash的方式。每个密码对应一个不同的随机数。这个方法,实际上是将密码人为地拓展了N位,导致密码长度大增,使得攻击者无法构造这么大的一个字典。

 

使用 密码 + 随机串 的方式保存的密码就一定不能破解吗?设想这种方式的数据库表中一定有两列,一列保存 随机串,另一列保存 密码 + 随机串 的Hash值。如果攻击者拿到这个数据库,会怎样做呢?他可以对每一个密码构建一个字典,然后再查字典破解。实际上,要破解一个密码所构造的字典并不很大,跟不用随机串是一样的!只不过这字典是一次性字典。

 

破解每一个密码都要构造一个字典,虽然较慢,但并不是不可能。

 

因此,最终的解决方案还是回归到限制密码最小长度和使用复杂密码上来。

 

关于数据库中密码的存储

标签:使用   sp   数据   bs   as   数据库   nbsp   方法   不同的   

原文地址:http://www.cnblogs.com/qkhh/p/4066091.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!