密码通常使用MD5对用户密码HASH 后保存在
数据库中的
方法,如果黑客拿到了这个HASH数值,那么可以采用字典的方式暴力破解,如果这个字典数据库足够大,并且字典比较符合人们的设置习惯 的话,那很容易就能破解常见的密码,因此UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对 其运算,然后将salt值各单向函数运算的结果存入数据库中。如果可能的salt值的数目足够大的话,它实际上就消除了对常用口令采用的字典式攻击,因为 黑客不可能在数据库中存储那么多salt和用户密码组合后的HASH值。
UCenter的用户信息是保存在uc_members表中,在这个表中,每个用户都有一个不同的随机 salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也 就是将用户的密码MD5后,添加salt,然后再MD5,保存在password字段中。
不过,如果原有
系统使用的是md5(password+salt)的 方式保存的密码,那就无法
实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因 此,我们在平时
设计系统用户密码的时候,应该尽量采用md5(md5(password)+salt)的方式保存密码,这样才能方便的实现和 UCenter的接口,并且保证了安全性,通常对于英文用户名来说,自建系统使用username来做salt是个简便的
方法。
郑重声明:
本站所有内容均由互联网收集整理、网友上传,并且以计算机技术研究交流为目的,仅供大家参考、学习,不存在任何商业目的与商业用途。
若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
我们不承担任何技术及版权问题,且不对任何资源负法律责任。
如无法下载,联系站长索要。
如有侵犯您的版权,请给我们来信:cainiaovip8@qq.com,我们尽快处理。