如何正确实行密码验证

发布时间：2022-06-14 13:41 所属栏目：53 来源：互联网

导读：网络安全问题日益严重，即使是大型知名企业也面临敏感用户数据泄露的问题。这些问题可能包括对数据库的未经授权的访问以及日志的泄露等等。此外，我们也经常遇到零日漏洞攻击(Zero-Day Vulnerabilities)，所有这些都对用户自身安全和企业声誉产生了负面影响

　　网络安全问题日益严重，即使是大型知名企业也面临敏感用户数据泄露的问题。这些问题可能包括对数据库的未经授权的访问以及日志的泄露等等。此外，我们也经常遇到零日漏洞攻击(Zero-Day Vulnerabilities)，所有这些都对用户自身安全和企业声誉产生了负面影响。本文将介绍如何使用密码认证来实现用户认证的数据存储。

　　一、身份验证
　　身份验证是用户确认他是所提供标识符的所有者的过程。最明显和人们最熟悉的身份验证过程是密码身份验证。用户进入登录页面，输入用户名和密码，然后登录。下文将展示如何在服务器上实现身份验证。

　　那么，用户注册时如何保存认证数据呢？

　　1.将密码存储为纯文本
　　在这种情况下，数据库中的数据将作为开放数据存储。任何有权访问数据库的人都可以获取用户的密码，比如数据库管理员、支持人员或开发人员。此外，系统中始终存在漏洞风险，可能允许入侵者访问数据库且进行下载和转存。

　　2.密码哈希
　　哈希算法是根据用户密码计算数字摘要的特定函数。该函数的工作原理是可以足够快地从密码中获取哈希值，而无法在足够的时间内完成反向转换。哈希函数有MD5、SHA-1、SHA-256 、SH3-512等。使用这些函数，我们保存到数据库中的不是密码本身，而是使用哈希函数从密码中计算出来的数值摘要值。例如，在 Java 中，使用如下所示操作获取密码的哈希值：

　　复制
　　String password = "pa$$word";
　　MessageDigest md = MessageDigest.getInstance("SHA-256");
　　byte[] digest = md.digest(password.getBytes());
　　String hash = new BigInteger(1, digest).toString(16);

　　这个变体已经好很多了，但它仍有缺点。其中之一是具有相同密码的用户将具有相同的哈希值。如果入侵者获得对数据库的访问权，他就可以根据自己的目的使用数据，同时暴力破解密码的可能性也相当危险。你可以使用流行的密码和哈希来创建数据库（或使用现有数据库），因此可以快速恢复用户密码的值。这也是不推荐这一选项的原因。

　　3.使用唯一盐(Salt)的密码哈希
　　针对前一个解决方案的痛点，我们可以使用每个用户唯一的盐。盐是与密码连接的随机值，并从结果中获取哈希函数。

　　复制
　　String password = "pa$$word";
　　String salt = "b0f57dccf7133f7ef3acb09641e5f7a3";

　　MessageDigest md = MessageDigest.getInstance("SHA-256");

　　byte[] digest = md.digest((password + salt).getBytes());
　　String hash = new BigInteger(1, digest).toString(16)
　
　　4.特殊算法 PBKDF2、BCrypt、SCrypt
　　最好的选择是使用为散列密码开发的特殊算法。这些算法是自适应的，可以有意让计算时间放慢，以使暴力攻击更加困难。

（编辑：ASP站长网）