php用户密码加密算法深入分析,加密注意事项

1、首先简谈一下常规Web登录模块的开发(只为了实现简单的登录功能,未对数据库字段进行加密处理以及传输过程中进行加密处理)

第一种:明文

有一些APP的登录注册就直接明文,其实这是十分危险的,危险因素多的数不胜数。

譬如

1、后台被黑客攻破,用户的所有信息都会暴露出来

2、网络劫持:劫持之后也可以直接看到我们的明文密码

3、如果攻击者破解app,拿到了沙盒中的数据,也会造成数据泄漏

本文实例讲述了php用户密码加密算法。分享给大家供大家参考,具体如下:

   非安全性登录模块开发

第二种:MD5加密

MD5是一个安全的散列算法,输入两个不同的明文不会得到相同的输出值,根据输出值,不能得到原始的明文,即其过程不可逆;所以要解密MD5没有现成的算法,只能用穷举法,把可能出现的明文,用MD5算法散列之后,把得到的散列值和原始的数据形成一个一对一的映射表,通过比在表中比破解密码的MD5算法散列值,通过匹配从映射表中找出破解密码所对应的原始明文。

MD5有一下四个特点:

1、不可逆的

2、数量是有限的,可以使用穷举法破解,MD5破解就是根据这个

3、MD5算法 不管是什么语言得到的结果都是一样的。

3、字符串,图像,视频都可以使用MD5加密成32为字符串

单纯的MD5对我们的登录密码进行加密也不是十分完善的。那些比较懒的用户可能会输入一个比较简单的密码,我们也要保护这部分用户的密码不会被轻易的破解。这时候我们就引入了下一个概念。

今天在拿Discuz进行二次开发时需要在代码里验证Discuz的用户名密码,结果不小心掉进了坑里,因为Discuz的论坛有两张表来存储用户数据,一张在Discuz的数据库ultrax里面的pre_common_member里面,另一个是存储在了UCenter的数据库ucenter的uc_members表里。花了很大功夫在研究ultrax库里那张pre_common_member的数据,研究它的密码是如何生成的,结果搜了一下发现网上说是随机生成的一个salt

   使用JSP+MYSQL

第三种:MD5 加盐

普通的MD5加密,现在已经有软件可以进行破解,所有我们想出来一种方法,使MD5这种加密更加复杂,更难被破解。这种方式就是加盐(原始密码

  • 盐) MD5 运算.保证密码不被破解,就要保证盐值足够长/足够咸

什么是加盐值

为了加强MD5的安全性(本身是不可逆的),从而加入了新的算法部分即加盐值,加盐值是随机生成的一组字符串,可以包括随机的大小写字母、数字、字符,位数可以根据要求而不一样,使用不同的加盐值产生的最终密文是不一样的。

代码中如何使用加盐值

由于使用加盐值以后的密码相当的安全,即便是你获得了其中的salt和最终密文,破解也是一个耗费相当多时间的过程,可以说是破解单纯MD5的好几倍,那么使用加盐值以后的密文是如何产生的呢?

1).首先我们得到的是明文的hash值

2).进行计算获取MD5明文hash值

3).随机生成加盐值并插入

4).MD5插入加盐值得到的hash

5).得到最终的密文

当然盐后台传给我们是最好的,使用后台传来的盐(salt)时,登录注册我们需要考虑一下逻辑

在注册时成功后,后台给我们随机的返回一个salt,并且后台使用盐(salt)md5加密

登录的时候,我们用盐(salt)加密

当我们更换手机登录的时候,我们向注册账号发送登录请求信息,当登录账号允许新的手机登录的时候,后台给新的手机发送以前的salt值(案例:我们跟换微信登录的时候,微信会给我们发送一个验证码,我们输入验证码的过程就是我们想后台请求salt的过程)

心想这随机生成的salt如何在登录时进行验证呢?然后网上说其实Discuz压根就没用那个密码,自己试验了一下,果真如此,即使把pre_common_member里面的用户密码改掉,照样能够正常登录,看来这个密码压根就没用,害我绕了一个大圈子。

   数据库表如下所示:

第四种:HMAC加密

其实上面的思想都有一点HMAC加密的思想,现在国外HMAC加密用的十分广泛了。

HMAC加密算法是一种安全的基于加密hash函数和共享密钥的消息认证协议.它可以有效地防止数据在传输过程中被截获和篡改,维护了数据的完整性、可靠性和安全性.

HMAC加密算法是一种基于密钥的报文完整性的验证方法,其安全性是建立在Hash加密算法基础上的。它要求通信双方共享密钥、约定算法、对报文进行Hash运算,形成固定长度的认证码。通信双方通过认证码的校验来确定报文的合法性。HMAC加密算法可以用来作加密、数字签名、报文验证等。

HMAC加密算法的定义

HMAC加密算法是一种执行“校验和”的算法,它通过对数据进行“求和”来检查数据是否被更改了。在发送数据以前,HMAC加密算法对数据块和双方约定的公钥进行“散列操作”,以生成称为“摘要”的东西,附加在待发送的数据块中。当数据和摘要到达其目的地时,就使用HMAC加密算法来生成另一个校验和,如果两个数字相匹配,那么数据未被做任何篡改。否则,就意味着数据在传输或存储过程中被某些居心叵测的人作了手脚。

+ (NSString *)HMacHashWithKey:(NSString *)key data:(NSString *)data{

const char *cKey  = [key cStringUsingEncoding:NSASCIIStringEncoding];

const char *cData = [data
cStringUsingEncoding:NSASCIIStringEncoding];

unsigned char cHMAC[CC_SHA256_DIGEST_LENGTH];

//关键部分

CCHmac(kCCHmacAlgSHA256, cKey, strlen(cKey), cData, strlen(cData),
cHMAC);

NSData *HMAC = [[NSData alloc] initWithBytes:cHMAC

length:sizeof(cHMAC)];

//将加密结果进行一次BASE64编码。

NSString *hash = [HMAC base64EncodedStringWithOptions:0];

return hash;

}

其中被加密的字段data,我们可以设定一种特殊的生成方式。

加密的密匙key也可以和server端商定一致。

我们做了这些已经为保护用户账号安全做了很多了,但是,我们还有改进的机会。

我们知道,现在用户经常连接公共Wi-Fi,而黑客可以通过这个公共Wi-Fi来获取我们加密后的密码以及key,这个时候我们还可以添加一层新的防护

好了,进入正题,Discuz的密码加密算法其实就是两次MD5加密,首先用明文进行一次加密,之后随机生成一个salt,再把第一次的密文后面添加salt作为明文再进行一次MD5加密。salt保存在uc_members表里,可以通过用户名进行获取。

     
图片 1

第五种:时间戳密码+HMAC

基本介绍

动态密码:相同的密码明文+相同的加密算法–>因为每次登陆时间都不同,所以每次计算出的结果也都不相同.可以充分保证密码的安全性.

服务器会计算两个时间值,当期时间和前一分钟的时间(比如:第59S发送的网络请求,一秒钟后服务器收到并作出响应,这时服务器当前时间比客户端发送时间晚一分钟,仍然能够判断准确的值)

补充介绍:token值

token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5
加密之后的长字符串.

用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是
token 值.

基本使用:

在服务器端(数据库)会保存这个 token 值,以后利用这个 token
值来检索对应的用户信息,并且判断用户的登录状态.

用户登录成功之后,服务器会将生成的 token 值返回给
客户端,在客户端也会保存这个 token 值.(一般可以保存在 cookie
中,也可以自己手动确定保存位置(比如偏好设置.)).

以后客户端在发送新的网络请求的时候,会默认自动附带这个 token
值(作为一个参数传递给服务器.).服务器拿到客户端传递的 token 值跟保存在
数据库中的 token 值做对比,以此来判断用户身份和登录状态.

登录状态判断

如果客户端没有这个 token 值,意味着没有登录成功过,提示用户登录.

如果客户端有 token
值,一般会认为登录成功.不需要用户再次登录(输入账号和密码信息).

token 值有失效时间:

一般的 app ,token值得失效时间都在 1 年以上.

特殊的 app :银行类 app /支付类 app :token值失效时间 15 分钟左右.

一旦用户信息改变(密码改变),会在服务器生成新的 token 值,原来的
token值就会失效.需要再次输入账号和密码,以得到生成的新的 token 值.

唯一性判断: 每次登录,都会生成一个新的token值.原来的 token
值就会失效.利用时间来判断登录的差异性.

像这样:

  先用jsp页面创建login.jsp和index.jsp页面(为了方便讲解,直接使用jsp页面传值及校验)具体代码如下所示:

MD5(MD5(明文)+salt)

  

下面是.net的实现代码:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登录界面</title>
</head>
<body>
<form action="index.jsp" method="post">
    账&nbsp;号:<input type="text" name="username"/><br/>
    密&nbsp;码:<input type="password" name="password"><br/><br/>
        <input type="submit" value="提交"><br/>
</form>
</body>
</html>    

<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首页</title>
</head>
<body>
<%
    //获取mysql连接对象
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //获取login.jsp传过来的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        if(password.equals(p)){
            out.println("用户"+username+"登录成功");
        }else{
            out.println("用户"+username+"登录失败");
        }
    }else{
        out.println("用户"+username+"不存在");
    }
%>
</body>
</html>
string GetDiscuzPWString(string sourceStr, string salt)
{
   return GetMd5Hash(string.Concat(GetMd5Hash(sourceStr),salt));
}
string GetMd5Hash(string input)
{
  MD5 md5Hasher = MD5.Create();
  byte[] data = md5Hasher.ComputeHash(Encoding.Default.GetBytes(input));
  StringBuilder sBuilder = new StringBuilder();
  for (int i = 0; i < data.Length; i++)
  {
    sBuilder.Append(data[i].ToString("x2"));
  }
  return sBuilder.ToString();
}

通过上面两个jsp页面进行实现登录页面的,可以实现校验功能。但存在的安全隐患问题太多

总结密码判断方式:

  • 数据库以明文的形式进行存储
  • 数据传输的过程中未对数据进行加密处理(可以使用WireShark等抓包工具获取post传递的明文信息

① 要安装UC

2、接下来针对以上两个问题进行分析和解决:

② 打开数据库找到uc_members 这表,寻找最后一个字段”salt “,复制里面的值

安全加固1:对数据库表的password字段进行摘要处理(在MYSQL中对数据摘要处理,sql语句如下)

③ 伪代码:

//使用SHA进行摘要处理
UPDATE loginset password = SHA(password)

//使用MD5进行摘要处理
UPDATE userinfo set password = MD5(password)
$s=md5(md5("密码")."salt字段的值");
echo $s;

原来明文123456 经过是用MD5加密后是e10adc3949ba59abbe56e057f20f883e

④ 用IF判断

图片 2

⑤ 再说一次!那个随机是6位数!

但是这样子还是不安全,进入http://www.cmd5.com/
输入加密后的密文进行解密后可以得到明文密码

PS:关于加密解密感兴趣的朋友还可以参考本站在线工具:

  • 比如数据库有多个密码的明文是123456,通过MD5加密生成的密文是一模一样的,这样别人解密后就可以获取到其他一样的密码
  • 针对上述问题,我们会进行加盐处理。即在用户注册时随机生成一个规定长度的字段,然后和用户密码相结合,在进行MD5加密,等会再讨论这个问题。

密码安全性在线检测:

图片 3

高强度密码生成器:
http://tools.jb51.net/password/CreateStrongPassword

 

MD5在线加密工具:
http://tools.jb51.net/password/CreateMD5Password

当对数据库的明文密码进行MD5加密后,我们再来改造一下jsp页面的处理逻辑,对用户输入的密码也进行MD5处理后再校验

迅雷、快车、旋风URL加密/解密工具:
http://tools.jb51.net/password/urlrethunder

  • 写一个工具类DigestUtil,由这个工具类来帮助我们生成用户输入的password对应的MD5
  • 写一个工具类BytesToString,将字节数组转化为字符串
  • 具体代码分别如下,具体过程请读者自己分析代码

    package util;

    import java.security.MessageDigest;
    import java.security.NoSuchAlgorithmException;

    public class DigestUtil {

    public static String getMD5(byte[] data) throws NoSuchAlgorithmException{
        MessageDigest md = MessageDigest.getInstance("MD5");
        md.update(data);
        byte[] resultBytes = md.digest();
        String resultString = BytesToString.fromBytesToString(resultBytes);
        return resultString;
    }
    
    public static String getSHA1(byte[] data) throws NoSuchAlgorithmException{
        MessageDigest md = MessageDigest.getInstance("SHA1");
        md.update(data);
        byte[] resultBytes = md.digest();
        String resultString = BytesToString.fromBytesToString(resultBytes);
        return resultString;
    }
    

    }

    package util;

    public class BytesToString {

    public static String fromBytesToString(byte[] resultBytes) {
        StringBuilder builder = new StringBuilder();
        for (int i = 0; i < resultBytes.length; i++) {
            if (Integer.toHexString(0xFF & resultBytes[i]).length() == 1) {
                builder.append("0").append(
                        Integer.toHexString(0xFF & resultBytes[i]));
            } else {
                builder.append(Integer.toHexString(0xFF & resultBytes[i]));
            }
        }
        return builder.toString();
    }
    

    }

在线散列/哈希算法加密工具:
http://tools.jb51.net/password/hash\_encrypt

改造后的index.jsp代码,如下:

更多关于PHP相关内容感兴趣的读者可查看本站专题:《php加密方法总结》、《PHP编码与转码操作技巧汇总》、《php面向对象程序设计入门教程》、《PHP数学运算技巧总结》、《PHP数组(Array)操作技巧大全》、《php字符串(string)用法总结》、《PHP数据结构与算法教程》、《php程序设计算法总结》、《php正则表达式用法总结》、及《php常见数据库操作技巧汇总》

<%@page import="util.DigestUtil"%>
<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首页</title>
</head>
<body>
<%
    //获取mysql连接对象
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //获取login.jsp传过来的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        //简单的明文校验代码
        /* if(password.equals(p)){
            out.println("用户"+username+"登录成功");
        }else{
            out.println("用户"+username+"登录失败");
        }
    }else{
        out.println("用户"+username+"不存在");
    } */
        //sql使用MD5加密后的密文和用户输入的password校验代码
        if(p.equals(DigestUtil.getMD5(password.getBytes())))
            //getMD5(byte[] data)方法是将原始的数据转换成加密后的密文
        {
            out.println("数据库password字段"+p);
            out.println("用户输入的password"+password);
            out.println("经过处理后的password"+DigestUtil.getMD5(password.getBytes()));
            out.println("用户"+username+"登录成功");

        }else{
            out.println("用户"+username+"登录失败");
        }
        }else{
        out.println("用户"+username+"不存在");
        }
%>
</body>
</html>

希望本文所述对大家PHP程序设计有所帮助。

通过以上步骤,我们只对数据库的password明文字段进行了简单的MD5加密,有以下缺点:

您可能感兴趣的文章:

  • PHP生成随机用户名和密码的实现代码
  • php编写批量生成不重复的卡号密码代码
  • php中生成随机密码的自定义函数代码
  • php生成随机密码自定义函数代码(简单快速)
  • PHP生成随机密码方法汇总
  • php生成随机密码的三种方法小结
  • php密码生成类实例
  • 纯php生成随机密码
  • php实现随机生成易于记忆的密码
  • PHP中快速生成随机密码的几种方式
  • PHP判断密码强度的方法详解
  • 容易根据密文位数推测算法,从而使用工具破解
  • 真实密码相同,加密过的密码也相同

接下来我们介绍一下对其进行加盐处理:

3、加盐处理,以此来增强系统的复杂度,再通过摘要处理,就能得到隐蔽性更强的摘要值

  • 将表中的salt字段随意输入abccba,然后和原来的明文密码123456结合,再进行SHA1加密
  • 多建一对数据,将表中的salt字段输入cbaabc,然后和原来的明文密码123456结合,再进行SHA1加密

图片 4

 

 
所谓的salt字段就是一个随机的字段,具体随机算法就不讨论了,每当用户注册账户时,后台就给它随机生成一个不同的字段

  然后根据password和salt字段结合进行摘要处理,存在数据库表中的password字段,这样一来,原来明文都是123456生成的密文就不一样了

 操作如下:

   
图片 5

  得到加密后密文是(原来密码都是123456):

     
图片 6

  接下来改造index.jsp的处理逻辑,对于用户输入的密码进行SHA1处理后的工具类在上面的DigestUtil方法中有列举出

  index.jsp代码如下:

  

<%@page import="util.DigestUtil"%>
<%@page import="java.sql.ResultSet"%>
<%@page import="java.sql.PreparedStatement"%>
<%@page import="java.sql.DriverManager"%>
<%@page import="java.sql.Connection"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首页</title>
</head>
<body>
<%
    //获取mysql连接对象
    String driverClass="com.mysql.jdbc.Driver";
    String user="root";
    String psw="zwkkwz";
    String url="jdbc:mysql://localhost:3306/mytest";
    Class.forName(driverClass);
    Connection conn=DriverManager.getConnection(url,user,psw);
    //获取login.jsp传过来的username和password
    String username=request.getParameter("username");
    String password=request.getParameter("password");
    String sql="select * from login where username=?";
    PreparedStatement stmt=conn.prepareStatement(sql);
    stmt.setString(1, username);
    ResultSet rs=stmt.executeQuery();
%>
<%
    if(rs.next()){
        String p=rs.getString("password");
        //sql使用SHA1进行加盐加密后的密文和用户输入的password校验代码
        //我们需要获取到用户输入的密码和对应的salt
        String salt=rs.getString("salt");
        if(p.equals(DigestUtil.getSHA1((password+salt).getBytes()))){
                out.println("数据库password字段"+p);
                out.println("用户输入的password"+password);
                out.println("经过处理后的password"+DigestUtil.getSHA1((password+salt).getBytes()));
                out.println("用户"+username+"登录成功");

            }else{
                out.println("用户"+username+"登录失败");
            }
        }else{
            out.println("用户"+username+"不存在");
            }
    %>
    <%
        rs.close();
        stmt.close();
        conn.close();
    %>
</body>
</html>

  以上的步骤我们只是对sql进行了加密操作。

    
为了防止用户输入密码在传输的过程中被抓包工具获取,我们还要在密码传输的过程中进行加密,这样可以使得获取到的也是密文。

  
使用MD5.js对表单加密(可以百度搜索MD5.js下载)

  
传输加密:在浏览器端发送出数据之前就要对数据进行加密处理。

  
在jsp引入MD5.js;给input标签指定一个id,然后在提交的时候给定一个方法onclick,来对用户输入的密码进行加密,具体的login.jsp如下:

    

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登录界面</title>
<script type="text/javascript" src="md5.js"></script>
</head>
<body>
<form action="index.jsp" method="post">
    账&nbsp;号:<input type="text" name="username"/><br/>
    密&nbsp;码:<input type="password" name="password" id="password"><br/><br/>

    <input type="submit" value="提交" onclick="toMd5()"><br/>
</form>
</body>
<script type="text/javascript">
    function toMd5(){
        var passwordNode=document.getElementById("password");
        //加密前
        alert(passwordNode.value);
        var hash=hex_md5(passwordNode.value);
        passwordNode.value=hash;
        //加密后
        alert(passwordNode.value);
    }
</script>
</html>

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website