哈希游戏- 哈希游戏平台- 哈希游戏官方网站

　　Linux 系统中的口令加密函数及其应用摘要: 操作系统以及各种应用系统中的账户口令( password ) 是不能以明文形式存放在数据中的, 这是因为数据库安全一旦出现问题, 口令泄露会造成很大的损失。操作系统及各种应用系统的账户口令都是加密的。该文详细地论述 Linux 系统中用户口令的加密机制及相关知识,通过实例研究了利用函数 crypt ( )的加密机制及其应用。中国论文网/view- 关键词:操作系统;账户口令; Linux 系统中图分类号: TP311 文献标识码: A 文章编号: 1009-3044 ( 2015 ) 35-0048-02 1 口令的保护机制无论是操作系统的用户帐号还是各种应用系统的用户帐号都是以加密后保存或求其 hash 值之后保存的, 否则数据库的泄漏会导致严重的问题。例如 CSDN 网站因为一个漏洞整站数据库被拖下来, 用户帐户名和口令全部暴露。这带来一个更严重问题, 很多人在不同的站点上使用的都是同一个用户名和口令,别人拿着这个被暴露出来的口令到其他各大网站(如淘宝、支付宝、网银等)试一下,用户的损失将非常严重。 求用户口令的 Hash 值 Hash 值是对消息( Message )求其单向映射函数得到消息摘要,比较流行的 hash 函数有 MD5[1] , SHA1[2] , SHA256 , SHA512 , RipeMD 等。例如对消息 m=“ anhui university of science and technology “,求其 MD5 和 SHA1 的消息摘要分别为 128bits 和 160bit s 的 hash 值(以 16 进制表示): MD5 (m) =ab8005dc SHA1 (m) =747ec011da942f5bc72a8493cd3d51f5d09bc245 若对用户设置的口令用其 hash 值后再放到数据库中保存,然后每次用户登录时先对用户输入的口令计算其 has h值, 再与数据库中保存的 has h 值比较进行用户登录身份的验证, 这样即使数据库泄露,别人也无法通过那个 hash 值得到用户的真实口令。 salt 的使用在一定程度上别人得到 hash 值之后, 的确几乎不可能逆向算出原始口令。但用户的口令设置通常比较简单、容易构造,只要尽可能多地列举常见密码然后求其 hash 值得到对应关系表( 被称为彩虹表, Rainbow Table ) [3] , 就比较容易得到原始口令, 因为现在黑客们已经构造出 TB 量级的彩虹表。因此, 采用加盐( salt ) 的方法来加大口令被猜解的难度。具体来说就是在用户设置口令后,再随机生成一个字符串(即 salt ) ,把口令和 salt 用某种方式组合起来( 即加 salt ) 然后再计算 hash 值后放入数据库中, 同时把随机生成的 sal t 也放入数据库中。用户登录时,从数据库中取出对应的 salt ,再和用户输入的口令组合一下求 hash 值,与数据库中的 hash 值比对进行用户登录身份认证。 Salt 的使用还能在一定程度上避免在用户输入的口令一样的情况下,得到同样的 hash 值。 2 Linux 系统中用户口令的加密机制 Crypt ()是 Unix/Linu x 操作系