信息化觀察網(wǎng)

在面對這個網(wǎng)絡(luò)世界的時候，密碼安全總是各個公司和用戶都非常關(guān)心的一個內(nèi)容，畢竟現(xiàn)在大家不管是休閑娛樂還是學(xué)習(xí)購物都是通過網(wǎng)上的帳號來進(jìn)行消費的，所以我們通常會給用戶的密碼進(jìn)行加密。在加密的時候，經(jīng)常會聽到“加鹽”這個詞，這是什么意思呢？

我們通常會將用戶的密碼進(jìn)行 Hash 加密，如果不加鹽，即使是兩層的 md5 都有可能通過彩虹表的方式進(jìn)行破譯。彩虹表就是在網(wǎng)上搜集的各種字符組合的 Hash 加密結(jié)果。而加鹽，就是人為的通過一組隨機字符與用戶原密碼的組合形成一個新的字符，從而增加破譯的難度。就像做飯一樣，加點鹽味道會更好。

接下來，我們通過代碼來演示一種比較安全的加鹽方式。

首先，我們建一個簡單的用戶表。這個表里只有四個字段，在這里僅作為測試使用。

然后定義兩個方式，一個用來生成鹽，一個用來生成加鹽后的 Hash 密碼。

generateSalt() 方法很簡單，就是生成一個隨機的四位字符的字符串，我們使用大小寫加數(shù)字的形式生成這個字符串。這就是傳說中的“鹽”。

接下來我們就可以使用 generateHashPassword() 方法為用戶的原密碼加鹽。在這里我們第一層先使用 sha1() 對原密碼進(jìn)行一次 Hash ，然后使用這個 Hash 值拼接鹽字符串后再進(jìn)行 md5() 加密。最后加密出來的 Hash 值就很難在彩虹表中找到了。即使找到，也只是上層 sha1() 拼接鹽字符串的內(nèi)容，用戶的原文密碼畢竟還有一層加密。

剩下的就是我們進(jìn)行出入庫的注冊登錄測試了。

代碼還是比較簡單的，在注冊的時候，我們直接對用戶密碼進(jìn)行加密后入庫。主要關(guān)注的地方是在登錄時，我們先根據(jù)用戶名查找出對應(yīng)的用戶信息。然后將用戶登錄提交上來的原文密碼進(jìn)行加密，與數(shù)據(jù)庫中的原文密碼進(jìn)行對比驗證，密碼驗證成功即可判斷用戶登錄成功。

另外還需要注意的是，我們的鹽字符串也是要存到數(shù)據(jù)庫中的。畢竟在登錄的時候我們還是需要將用戶的原文密碼與這個鹽字符串進(jìn)行組合加密之后才能進(jìn)行密碼的匹配。

這樣加密后的代碼其實想通過彩虹表來破解基本上是很難了。在幾年前 CSDN 的帳號泄露事件中，大家發(fā)現(xiàn)作為中文程序員世界最大的網(wǎng)站竟然是明文存儲的密碼，這就為攻擊者提供了一大堆用戶的明文常用密碼。因為大家都喜歡用同一個用戶名和密碼注冊不同的網(wǎng)站，所以不管其他怎么加鹽都是沒用的，畢竟原文密碼是對的，拿到這樣一個網(wǎng)站的數(shù)據(jù)庫中的用戶明文密碼后，就可以通過這些密碼去嘗試這些用戶在其他網(wǎng)站是不是用了相同的帳號名和密碼注冊了帳號。所以在日常生活中，我們重要的一些網(wǎng)站帳號、密碼盡量還是使用不同的內(nèi)容，如果記不住的話，可以使用一些帶加密能力的記事本軟件進(jìn)行保存，這樣會更加安全。而我們程序員，則應(yīng)該始終都將用戶的密碼及重要信息進(jìn)行加密處理，這是一種基本的職業(yè)規(guī)范。