62,074
社区成员
发帖
与我相关
我的任务
分享密码加密解密的安全性
我目前用户的密码是MD5加密的,但是如果用户稍微懂一点点技术,随便找一个解密工具就能解密出来。这个安全性太差了,如何做到无法让用户无法解密呢?谢谢。
...全文
请发表友善的回复…
发表回复
以专业开发人员为伍 2016-11-29
- 打赏
- 举报
你可以把某些 salt 再发过来使用一次 --> 你可以把某些 salt 再反过来使用一次
看你的描述,“是通过查数据库,我们的客户是做java的,懂数据库啊?”这个是无厘头地匹配字眼儿(仅凭字眼儿像,而不是理解真正含义),这样你的知识判断就更混乱了。
还是老老实实地听听你们自己公司的领导怎么说吧。别在 csdn 这样的论坛找一条技术黑粉的道路。把精力放在更重要的学习(抄有用的框架)上。
以专业开发人员为伍 2016-11-29
- 打赏
- 举报
你先找一个“解密”的工具来试试,或者你至少找一个可以作为证据的东西拿出来实际看看。
那种“你给一个字符串,它帮你计算md5散列值”的顶多就是一个噱头,你对密码加密之前肯定要组合用户的名称、用户的电子邮件地址、你们公司自己的名称和地址、软件名称,等等许多的 salt,甚至你可以把某些 salt 再发过来使用一次,怎么可能就拿一个密码就去计算md5?
因此这种“你输入一个字符串,它给你返回md5散列值”的东西,如果反过来用来查已经输入过的内容的数据库,就算它有你的密码值,它计算的 md5 值也不是你的程序保存的 md5值。
基本上所谓的“碰撞自己的密码”,对别人来说是个噱头,对自己来说是杞人忧天。
娃都会打酱油了 2016-11-29
- 打赏
- 举报
银行的不都是rsa加密、解密的吗?怎么可能简单的md5?
实际rsa之外可能还有先一步的对称加密
拜一刀 2016-11-29
- 打赏
- 举报
涉及钱我就不乱说了,对称加密非对称加密,还有什么手机验证码u盾,那方法可多了,坐等专业人士
fisea 2016-11-29
- 打赏
- 举报
是通过查数据库,我们的客户是做java的,懂数据库啊?[/quote]
意思就是不能"随便找一个解密工具就能解密出来"(要是能解密,把一个高清电影算下md5,用的时候一解不就出来了?谁还用种子啊),网上都是算下1的md5然后记下来,下次遇到这个md5就是1,然后再算2的md5,再记下来......你用什么加密可以抗住这个?
你们客户又不能把世上所有字符串的md5都算一遍,加盐,加复杂度就行了吧,除非你要搞什么网银这种再往复杂了弄[/quote]
这个还真的牵涉用户的金钱
拜一刀 2016-11-29
- 打赏
- 举报
是通过查数据库,我们的客户是做java的,懂数据库啊?[/quote]
意思就是不能"随便找一个解密工具就能解密出来"(要是能解密,把一个高清电影算下md5,用的时候一解不就出来了?谁还用种子啊),网上都是算下1的md5然后记下来,下次遇到这个md5就是1,然后再算2的md5,再记下来......你用什么加密可以抗住这个?
你们客户又不能把世上所有字符串的md5都算一遍,加盐,加复杂度就行了吧,除非你要搞什么网银这种再往复杂了弄
fisea 2016-11-29
- 打赏
- 举报
是通过查数据库,我们的客户是做java的,懂数据库啊?
拜一刀 2016-11-29
- 打赏
- 举报
所谓md5解密是靠查库的,你加个盐或者再md5一次这样比较复杂奇葩的原文他就查不出来了吧
gengchenhui 2016-11-29
- 打赏
- 举报
楼主说的那种“解”估计就是类似cmd.com,pmd.com这类网站上的。。。
by_封爱 2016-11-29
- 打赏
- 举报
有这么牛逼的:"工具" 卖我一份
罗纳尔迪尼奥 2016-11-29
- 打赏
- 举报
你要碰撞试试,如果只是简单字符串MD5后做为密码,那有点简单,像SP1234说,你可以有很多复杂化和私密性的做法来处理这个,甚至每一个用户算法一直,但是salt不一致,都是可以的,没有绝对的安全,只能增加他的破解的门槛。
Poopaye 2016-11-29
- 打赏
- 举报
我还是第一次听说md5可以随便找一个解密工具就能解出来,楼主你给解一个:
3672a9f7b7a13aa67bb663ce0d775038
