身份验证的要点是为用户提供一组凭据，返利机器人是真的吗，如用户名和密码，企业管理类软件，并验证用户在需要访问应用程序时是否提供了正确的凭据。因此，我们需要一种方法将这些凭证存储在数据库中，以便将来进行比较。但是，在服务器端存储用于身份验证的密码是一项困难的任务。让我们探索一种使密码存储更安全、更简单的机制：散列。存储密码既危险又复杂存储密码的一个简单方法是在数据库中创建一个表，将用户名与密码映射。当用户登录时，服务器收到一个身份验证请求，有效负载包含用户名和密码。我们在表中查找用户名，并将提供的密码与存储的密码进行比较。通过匹配，用户可以访问应用程序。这个模型的安全强度和弹性取决于密码的存储方式。最基本但最不安全的密码存储格式是明文。正如丹尼姆集团的dancornell解释的那样，cleartext指的是"在clear中传输或存储的可读数据"，例如，未加密。您可能还看到了纯文本和纯文本这两个术语。有什么区别？根据康奈尔的说法，纯文本是指将作为密码算法输入的数据，我的云，而纯文本是指未格式化的文本，例如纯文本文件或.txt的内容。在我们前进的过程中，了解这些术语之间的区别是很重要的。以明文形式存储密码相当于把它们写在一张数码纸上。如果攻击者要侵入数据库并窃取密码表，则攻击者可以访问每个用户帐户。由于许多用户重复使用或使用单个密码的变体，使得此问题更为复杂，这可能使攻击者能够访问与被破坏的服务不同的其他服务。这听起来像是一场安全噩梦！攻击可能来自组织内部。一个可以访问数据库的流氓软件工程师可能会滥用访问权限，检索明文凭据，并访问任何帐户。存储密码的更安全的方法是将其转换为无法转换回原始密码的数据。这种机制称为散列。让我们进一步了解散列背后的理论、它的好处和局限性。"我们必须保护用户帐户不受内部和外部未经授权的访问。明文存储决不能作为密码的选项。哈希和加盐应该始终是密码管理策略的一部分。"在推特上留言怎么回事？根据字典的定义，散列指的是"把东西切成小块"，让它看起来像是"混乱的混乱"。这个定义非常适用于哈希在计算中所代表的含义。在密码学中，大数据传输，哈希函数是一种数学算法，它将任何大小的数据映射到固定大小的位字符串。我们可以将函数input称为message或简单地称为input。固定大小的字符串函数输出称为哈希或消息摘要。如OWASP所述，加密中使用的哈希函数具有以下密钥属性：计算散列值既简单又实用，但"如果只知道散列值，就很难或不可能重新生成原始输入。"很难创建与特定期望输出匹配的初始输入。因此，与加密相比，哈希是一种单向机制。经过哈希处理的数据实际上不可能是"unhashed"。常用的哈希算法包括消息摘要（MDx）算法（如MD5）和安全哈希算法（SHA），如SHA-1和SHA-2家族，其中包括广泛使用的SHA-256算法。稍后，我们将了解这些算法的优势，以及其中一些算法是如何因计算快速发展而被弃用，或是由于安全漏洞而不再使用。在比特币中，完整性和块链使用SHA-256算法作为底层的加密哈希函数。让我们看一个使用SHA-256和Python的散列示例。如果您想继续学习，可以使用在线Python更换IDE可以轻松运行Python脚本。巨蟒更换IDE提供了一个代码编辑器来输入Python代码、保存或运行脚本的按钮以及可视化脚本输出的控制台。在代码编辑器中，输入以下命令从hashlib模块导入SHA-256哈希算法的构造函数方法：从hashlib导入sha256在下一行中，创建sha256类的实例：h=sha256（）接下来，使用update（）方法更新哈希对象：h、 更新（Pythol'99000）然后，使用hexdigest（）方法获取传递给update（）方法的字符串摘要：哈希=h.hexdigest（）摘要是哈希函数的输出。最后，打印哈希变量以在控制台中查看哈希值：打印（哈希）完整的脚本如下所示：从hashlib导入sha256h=sha256（）h、 更新（b'python1990K00L'）哈希=h.hexdigest（）打印（哈希）要运行脚本，请单击屏幕顶部的"运行"按钮。您应该在控制台上看到以下输出：d1e8a70b5ccab1dc2f56bbf7e99f064a660c08e361a35751b9c483c88943d082简而言之，为哈希函数提供一个字符串作为输入，并返回另一个表示哈希输入的字符串作为输出：输入：蟒蛇1990K00L哈希（SHA-256）：B5578A360E868B568B548B568B548B568B548B568DCB568B568B568B568B568B568B548B568B568B548B568B568B568B568B568B568B568B568B548B56尝试散列字符串python。你得到下面的杂凑了吗？11a4a60b518bf24989d481468076e5d5982884626aed9faeb35b8576fcd223e1"了解加密哈希函数的工作原理后，了解区块链和加密货币（如比特币）就更容易了。"在推特上留言使用SHA-256，我们将一个随机大小的输入转换成一个固定大小的位串。请注意，尽管python1990K00L和python之间存在长度差异，但每个输入都会生成相同长度的散列。为什么？使用hexdigest（），生成哈希值的十六进制表示形式。对于任何输入，每个十六进制格式的消息摘要输出都有64个十六进制数字。每对数字代表一个字节。因此，摘要有32个字节。由于每个字节包含8位信息，因此哈希字符串总共代表256位信息。因为这个原因，它的所有输入的大小都是一样的。一些散列函数被广泛使用，但它们的属性和要求不能提供安全性。例如，循环冗余校验（CRC）是网络应用中用于检测错误的散列函数，但它不具有预图像抵抗能力，云报，这使得它不适合用于数字签名等安全应用。在本文中，我们将探讨使哈希函数适合在安全应用程序中使用的属性。首先，我们应该知道，即使我们要找到密码散列函数的输入如何计算成散列的细节，我们也不可能将散列还原为输入。为什么？加密哈希函数实际上是不可逆的散列函数的行为类似于单向函数，它使用极难还原的数学运算（如模运算符）。模运算符给出除法的余数。例如，5 mod 3是2，因为使用整数除法5/3的余数是2。这个操作是确定性的，给定相同的输入总是产生相同的输出：从数学上讲，5/3总是产生2。然而，模运算的一个重要特征是，在给定结果的情况下，我们无法找到原始操作数。从这个意义上说，散列函数是不可逆的。知道一个模运算的结果是2只告诉我们x除以y有一个2的提示，但它没有告诉我们关于x和y的任何信息。有无数个值可以用x和y来代替x mod y返回2：7模5=29模7=22模3=210模8=2...当使用加密哈希函数时，我们一定不能通过查看哈希来找到预映像。pre-image是一个我们称之为的值，当用作散列函数的输入时，它会产生特定的散列值，即明文值。因此，密码散列函数被设计成能够抵抗预映像攻击；它必须能够抵抗预映像攻击。因此，如果攻击者知道散列值，那么在计算上就不可能找到对给定输出进行哈希运算的任何输入。这种特性使哈希成为比特币和区块链的基础之一。如果您对散列函数的工作方式很好奇，那么这篇维基百科文章提供了关于安全哈希算法2（SHA-2）如何工作的所有细节。小小的改变就有很大的影响安全哈希函数的另一个优点是它的输出不容易预测。dontpwnme4的哈希与dontpwnme5的哈希非常不同，尽管字符串中只有最后一个字符发生了更改，而且两个字符串在按字母顺序排序的列表中相邻：输入：顿普WNME4哈希（SHA-256）：4420D1918BBCf7686 DefDF9560BB5087D20076DE5F77B7CB4C3B40BF46EC428B输入：顿普WNME5哈希（SHA-256）：3fc79ff6a81da0b5fc62499d6b6db7dbf1268328052d2da32badef7f82331dd6以下是Python脚本，用于在需要时计算这些值：从hashlib导入sha256h=sha256（）h、 更新（b''）哈希=h.hexdigest（）打印（哈希）将替换为要散列并运行它的所需字符串更换.这种特性被称为雪崩效应，它有一个理想的效果，即如果输入稍有改变，输出就会显著改变。因此，我们没有可行的方法来确定dontpwnme6的哈希是基于什么