passwdbuf是小写的passwd缓冲区,然后附加一个KEY,如上例子就是对:
|
这样的一个字串进行HASH加密:
|
;PASSWDBUF是大写的passwd缓冲区,然后附加一个KEY 005F9E3E:
|
取出passwdbuf是小写的passwd的加密值:
|
取出passwdbuf是大写的passwd的加密值这两个相加就是真正的数据库中的PASSWORD加密字段。
为什么说以上方法是脆弱的呢?其实其真正的加密长度生成只有20个字节。
小写口令的HASH1 大写口令的HASH1拼接的40位HASH值的安全度还不如一个直接20位的HASH值来得安全。因为大家都知道这两个值的因果关系,提供给了解密者更多的信息。如因为其算法相同,假如HASH1=HASH2,就能够判断口令肯定是未使用字母,只使用了数字和符号的口令,如上取出的123456口令的HASH,两个HASH完全相等。就是使用了字母,其知道补充的KEY,算法,两个加密字串的关系,其解应该也是大大的简化了。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
