前端动态加盐慢加密方案图解

加密:利用某种加密算法,将明文转换成无法简单识别的密文。

解密:利用相应的解密算法,将密文转换成可识别的明文。

密码破解:1、算法逆向破解(一般算法都是不可逆的);2、穷举暴力破解 3、查表,实际上表也是提前穷举跑出来的。

慢加密:提高加密时间来相应的加大破解时间和难度。

慢加密出现的原因:密码破解的时间和加密算法是直接关联的,例如 MD5 加密是非常快的,加密一次耗费 1 微秒,那破解时随便猜一个词组,也只需 1 微秒,攻击者一秒钟就可以猜 100 万个。如果加密一次提高到 10 毫秒,那么攻击者每秒只能猜 100 个,破解速度就慢了一万倍。提高加密时间有两种方法,一是多次加密,二是加大加密算法的复杂度。

但如果是服务器端加密,使用慢加密的网站,如果同时来了多个用户,服务器 CPU 可能就不够用了。所以前端加密在客户端拥有强大的计算能力的今天,逐渐被考虑。

慢加密过程:

破解方法: 暴力的穷举生成字典法

为了对抗这种破解方法,还得用经典的手段:加盐。加密过程中针对不同的用户引入不同的盐值,即可对抗这种常规的暴力穷举字典破解方法。

加盐慢加密:

这样,即使相同的密码,对于不同的用户,「慢加密结果」也不一样了。

由于用户的盐值也是需要存储在后台的,用户登录时,在输入用户名后,我们必须获取用户盐值才能加密明文密码进行提交验证:

为了更安全,可以定期的更换用户盐值:

由于不同的用户计算机的性能不一样,如何把握慢加密算法的强度很重要,如果用户计算机性能过差,而慢加密算法强度过高,会造成用户登录过慢的问题,所以设计加密算法时,可以根据用户侧的计算性能动态决定加密算法的强度,设此强度为S,在用户注册或登录时,可以根据用户计算性能检测程序段来设定强度S的值,此值会与用户名、密码以及盐值一同存在服务器上:

一般用户侧计算性能的评估也很简单,计算一定时间内的计算处理能力就行:

setTimeout(function() {
    flag = false;
    console.log(S);
}, 1000);

while(flag) {
    x = hash(x);
    S++;
}

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

网络攻击解疑:密码学上的攻击

有不少密码学里的方案被用来加密在有线或者无线的通信协议上的传输数据。然而这些技术已被证实容易受到攻击,且加密的数据可能会被窃取。本文探讨了各种能保护网络基础设施...

2923
来自专栏拂晓风起

Flash 加密和破解

1745
来自专栏一“技”之长

iOS获取和监测设备基本信息——UIDevice的使用

下面这两个放大与距离传感器应用相关,可参考:http://my.oschina.net/u/2340880/blog/544341.

742
来自专栏IT平头哥联盟

做完小程序项目、老板给我加了6k薪资~

  大家好,这里是@IT·平头哥联盟,我是首席填坑官——苏南(South·Su),今天要给大家分享的是最近公司做的一个小程序项目,过程中的一些好的总结和遇到的坑...

994
来自专栏FreeBuf

影响所有Windows版本远程桌面(RDP)应用的CredSSP漏洞分析

在3月13号的微软补丁日中,由Preempt团队发现的Windows凭据安全支持提供协议(CredSSP)高危漏洞CVE-2018-0886被修复,该漏洞为逻辑...

4475
来自专栏自由而无用的灵魂的碎碎念

了解几种常用的哈希校验码

最近下载msdn 版vista时,发现微软同时提供了SHA1校验码,我们就可以通过这些校验工具来比较下载的文件是否原汁原味。

1044
来自专栏贺嘉的专栏

一篇文章带你看懂 Cloudflare 信息泄露事件

近期根据Hacker News的报道,敏感信息、API 密钥被Cloudflare泄露给了随机的 requesters请求,我们为大家进行深度解读并提供解决方案...

1.1K0
来自专栏iOS开发日记

六个方向关于iOS100个面试题,你都会了吗?

请概括一下你在构建iOS应用时的测试过程。iOS应用如何实现对其他语言、日期格式以及货币单位的支持?

3795
来自专栏安智客

SOTER技术方案之秘钥体系

为了解决传统的可见密码验证存在各种安全性以及便捷性的弊端,随着Android M(Android 6.0)提供了官方的指纹接口以及针对指纹的增强版本密钥管理机制...

1967
来自专栏FreeBuf

“净广大师”病毒HTTPS劫持技术深度分析

一、背景 近期,火绒团队截获一个由商业软件携带的病毒,并以其载体命名为“净广大师”病毒。在目前广为流行的“流量劫持”类病毒中,该病毒策略高明、技术暴力,并攻破H...

2118

扫码关注云+社区