数据库中存储密码的加密方法

Question

可能的重复：
在 MySQL 中使用什么函数来哈希密码？
安全密码存储

密码加密后将密码存储到数据库的最佳机制是什么？那么加密的方法和Java的实现是什么呢？

Answer 1

从不存储加密密码。而是存储一个安全的单向哈希值，例如 SHA-1 （具有一些次要的安全性）问题），或更新、更安全的变体之一。

这样做实际上违反了您可能需要遵守的多项监管要求，例如如果您涉及信用卡（从事任何电子商务？），则需要遵守 PCI DSS。

像 http://www.mindrot.org/projects/jBCrypt/ 之类的东西也可能有用。

+1 Borealid 的评论 - 即使使用散列，散列也需要正确完成，并且必须包含“salt ”（用于防止攻击子集的附加随机数据）。 jBCrypt 将为您执行此操作（其他类似的库也是如此）。

Answer 2

存储密码的常见方法是使用消息摘要算法对密码进行哈希处理。我建议使用 SHA1，或者如果您需要更多字节（-> 可能发生的冲突更少），请使用 SHA256 或 512。这是 Java 中的 SHA1 实现：

http://www.anyexample.com/programming/java/java_simple_class_to_compute_sha_1_hash.xml

还建议您使用盐来使猜测密码哈希变得更加困难。说明：

http://en.wikipedia.org/wiki/Salt_(cryptography)