幾乎每次涉及用戶配置文件時，都必須管理用戶憑據(jù)，從而能夠創(chuàng)建和存儲用戶密碼。 通常應該使用散列密碼和鹽分密碼來準備數(shù)據(jù)庫公開和通過使用Rainbow表進行散列反轉(zhuǎn)的密碼。
但是，找到以明文形式存儲的密碼并不少見（很不幸）（我們將跳過一些必須努力學習正確操作方法的大公司名單）。 當具有未加密，未哈希和未加鹽的密碼的數(shù)據(jù)庫泄漏時，后果很明顯……..第二種最糟糕的方法是使用哈希但未加鹽的密碼。 在這種情況下彩虹表或哈希逆轉(zhuǎn)喜歡在網(wǎng)絡上的服務這個或這是巨大的幫助。 最后，第三種最糟糕的方法是僅依靠加密記錄-一旦密鑰或解密數(shù)據(jù)庫泄露，游戲就結(jié)束了！

那么怎么做對呢？ 簡單的答案是：將PBKDF2WithHmacSHA1與鹽值一起使用。 例如，可以在此處找到如何使用它的示例。 該實現(xiàn)看起來很成熟，但是很復雜。 如果您只是想了解鹽腌密碼的概念，則可能需要查看以下演示代碼：

public static final String HASH_ALGORITHM = "SHA-256"; public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");private static final char[] PASSWORD_CHARS = new char[]{'!', '@', '#', '$', '%', '&', '*', '(', ')', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z'}; public String getRandomString(final int length) {/** Don't try to seed SecureRandom yourself unless you know * what you are doing! * @see Randomly failed! Weaknesses in Java Pseudo Random Number Generators (PRNGs).*/ SecureRandom secureRandom = new SecureRandom(); StringBuilder sb = new StringBuilder(length);int position = 0;// create a random string of the requested length from a set of allowed charsfor (int i = 0; i < length; i++ ) {position = secureRandom.nextInt(PASSWORD_CHARS.length);sb.append(PASSWORD_CHARS[position]);}return sb.toString();}public static byte[] createPasswordHash(final String password,final String salt) {byte[] result = null;try {MessageDigest digest = MessageDigest.getInstance(HASH_ALGORITHM);digest.update(salt.getBytes(DEFAULT_CHARSET));digest.update(password.getBytes(DEFAULT_CHARSET));result = digest.digest();} catch (NoSuchAlgorithmException e) {// TODO Logging}return result;}public static boolean checkPassword(final User user, final String password) {boolean result = false;String storedPasswordHash = user.getPwHash();String salt = user.getSalt();byte[] checkPasswordHashBytes = createPasswordHash(password, salt);String checkPasswordHash = encodeBase64(checkPasswordHashBytes); // for simplicity let's say we use Base64if (checkPasswordHash != null && storedPasswordHash != null&& checkPasswordHash.equals(storedPasswordHash)) {result = true;}return result;}

該代碼期望某種帶有pwHash和salt字段的用戶對象（這兩個字段都不敏感！）來存儲必要的信息。 可以安全地保留此User對象（以防萬一沒有其他敏感數(shù)據(jù)鏈接到該對象）。 即使數(shù)據(jù)庫泄漏，攻擊者也必須蠻力地使用密碼和鹽的組合，或者為鹽腌的密碼計算出彩虹表。 請注意，該彩虹表不能與帶有不同鹽的相同密碼重復使用！ 這意味著，使用隨機選擇的鹽，即使密碼保持不變，攻擊者也將需要彩虹表來反轉(zhuǎn)每種鹽的哈希函數(shù)。

上面的代碼保持盡可能簡單。 例如，getRandomString可以重新用于創(chuàng)建鹽值，并可能在注冊過程中用于生成臨時密碼。 但是請記住，此代碼遠非在生產(chǎn)環(huán)境中可用！

最后一些注意事項：確保使用足夠長的鹽，防止鹽重用，并使用強大的算法進行哈希處理！

參考： Java安全和相關(guān)主題博客上的JCG合作伙伴 Christopher Meyer 安全地創(chuàng)建和存儲密碼 。

翻譯自: https://www.javacodegeeks.com/2013/08/safely-create-and-store-passwords.html

總結(jié)

以上是生活随笔為你收集整理的安全地创建和存储密码的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。