安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能介绍
产品简介
下载中心
帮助中心
客户列表
关于安企神

UCenter密码算法规则

更新时间:2022-10-28 15:46:30


本文简介:密码通常使用MD5对用户密码HASH后保留在数据库中的方法,假如有了这个HASH数值,那么可以采用字典的方式暴力破解,如果说字典数据够大的话,是非常容易把密码破解,但是UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。假如可能的salt值的数量足够大的话,它实际上就消除了对常用口令采用

UCenter密码算法规则

密码通常使用MD5对用户密码HASH后保留在数据库中的方法,假如有了这个HASH数值,那么可以采用字典的方式暴力破解,如果说字典数据够大的话,是非常容易把密码破解,但是UCenter采用了salt来防止这种暴力破解,salt是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将salt值各单向函数运算的结果存入数据库中。假如可能的salt值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击。

UCenter的创始人密码是保留在文件中的,打开uc下面/data/config.inc.php文件,里面的UC_FOUNDERPW保留的就是密码,而UC_FOUNDERSALT保留的是SALT数值,创始人密码的创建规则是:UC_FOUNDERPW=md5(md5(PASSWORD).UC_FOUNDERSALT),就是先将密码MD5,然后添加salt,然后再次MD5,产生的HASH数值保留在config.inc.php文件中,因此修改UC_FOUNDERPW里面的数值就可以修改UCenter的创始人密码。

UCenter的用户信息是保留在uc_members表中,在这个表中,每个用户都有一个不同的随机salt字段,表中的password字段为计算后的密码,密码计算规则是$password=md5(md5($password).$salt),也就是将用户的密码MD5后,添加salt,然后再MD5,保留在password字段中。

因此,假如进行不同系统的数据转换,可以根据这个原理,将其他系统的用户名和密码计算后,导入UCenter的uc_members表中,实现用户的迁移。例如,假如原有系统使用的是md5(password)这样的算法保留密码,那就通过程序随机生成salt,然后计算两者累加后的md5,这样就很轻易计算出这个用户在UCenter中的用户密码HASH值,从而实现用户的无缝迁移。

假如原有系统使用的是md5(password+salt)的方式保留的密码,那就无法实现密码的平滑迁移UCenter了,即使迁移,也只能人为将其UCenter的password增加一个salt才能使用,因此,我们在平时设计系统用户密码的时候,应该尽量采用md5(md5(password)+salt)的方式保留密码,这样才能利便的实现和UCenter的接口,并且保证了安全性。

立即下载试用

为什么密钥比密码更好

也许人们已经有过这种感觉,或者已经想象过了。当意识到刚刚把登录证书输入了一个假网站的那一刻,你会感到恐慌。也许你马上就意识到了。又或者你在第二天返回后无法登录时才意识到这一点。也许意识到这一点是因为你的银行账户被清空了。无论如何意识到或想象到它,它都不是想要的感觉。

为什么密钥比密码更好(图1)

密码已成为过去,密钥才是未来。

也许人们已经有过这种感觉,或者已经想象过了。当意识到刚刚把登录证书输入了一个假网站的那一刻,你会感到恐慌。也许你马上就意识到了。又或者你在第二天返回后无法登录时才意识到这一点。也许意识到这一点是因为你的银行账户被清空了。无论如何意识到或想象到它,它都不是想要的感觉。

但想象一下再也不用担心,这就是密钥和无密码身份验证所能带给您的体验。

为什么密钥更好

人们每天都在接近一个无密码的世界。我们都随身携带着可以用来轻松宣布身份的设备,通常是通过指纹或面部扫描。所有的新笔记本电脑都有指纹识别器。密码利用这些新技术大大提高了您的帐户的安全性。苹果已经在他们的生态系统中引入了密码,微软和谷歌很快也会发布他们的版本。

为什么说密钥是一种更好的解决方案,原因有很多,但归根结底有两点。

密码不共享任何秘密信息

这就是密钥比密码更安全的最大原因。有了密钥,密码就不再是威胁的载体了。

密码占所有安全漏洞的80%以上。密钥几乎可以将这种威胁降低到零。你不能重复使用你的密码。你不需要记住它们。它们是为您生成和存储的,因此您不必担心自己创建和存储它们。你不可能被引诱放弃它们,因为它们是特定网站独有的,因此不能与钓鱼网站共享。

与每个密钥相关联的敏感数据永远不会离开您的设备。这些信息存储在你手机上的一个特殊芯片(可信平台模块)上,即使是美国国家安全局也可能无法破解。如果你在一个使用像Passage这样的无密码解决方案的网站上注册,该网站除了一个公钥什么也得不到,这对破解你的账户毫无用处。虽然苹果允许你通过AirDrop与他人共享你的账户,但如果你想,你甚至不能与钓鱼网站共享实际的私钥。

密码是更好的用户体验

在网站上注册一个帐户可能是一件麻烦事。通常情况下,你必须想出一个符合各种标准的密码,以使其难以被猜出。通常情况下,用户必须从您的站点进行上下文切换,才能从他们的手机或电子邮件中获得一个六位数的数字。超过30%的网上购物车被放弃,因为注册账户很麻烦,或者因为用户不记得密码。密码管理器可以帮助解决这种情况,但对于许多人来说,使用起来可能很复杂。整个体验需要改进。

多因素身份验证(MFA)可以提高基于密码的系统的安全性,但这样做的代价是降低用户体验。MFA要求用户切换上下文,通常是通过转到另一个应用程序获取一个六位数的数字。我知道我经常摸索着找到我的手机来获取一次性密码。

相反,密码注册需要生物识别系统验证——就像触摸指纹或瞥一眼相机一样简单——以及一次性设备审批。之后,登录就像生物识别验证一样简单。用户无需输入复杂的密码、抓取一次性密码代码或查看电子邮件,只需几秒钟或更短的时间即可登录。

密码实际上是使用MFA,要求你提供你所拥有的东西(你的设备)和你自己的东西(例如,你的脸或指纹)。

密码只会越来越好。最终,你甚至不需要输入密码或电话号码就可以登录。相反,登录输入框只会知道您的设备有给定域的密钥,并会自动提示您。

让我们这样做

人们还记得银行手机应用程序允许采用指纹登录,而不是输入复杂的(而且最终并不安全,不管它有多复杂)密码时那种美妙的感觉。这无疑是一个自由的时刻。当你的用户访问你的网站或登录你的移动应用程序时,你希望他们这样做,不是吗?见鬼,你每次都想要这样。

最终,密码显得几乎不可利用,而且方便得多。


本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/16480.html