Mysql
 sql >> Database >  >> RDS >> Mysql

Crittografia password semplice:come faccio?

In futuro, ti suggerirei di astenerti dal chiedere risposte senza prima mostrare il codice che hai provato.

Detto questo, morderò.

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.NoSuchProviderException;
import java.security.SecureRandom;

public class EncryptHelper
{
    public static String ehashAndSalt(String passedpass) throws NoSuchAlgorithmException, NoSuchProviderException
    {
        String passwordToHash = "password";
        String salt = getSalt();

        String securePassword = getSecurePassword(passwordToHash, salt);

        return securePassword;
    }

    private static String getSecurePassword(String passwordToHash, String salt)
    {
        String generatedPassword = null;
        try
        {
            // Create MessageDigest instance for MD5
            MessageDigest md = MessageDigest.getInstance("MD5");
            //Add password bytes to digest
            md.update(salt.getBytes());
            //Get the hash's bytes
            byte[] bytes = md.digest(passwordToHash.getBytes());
            //This bytes[] has bytes in decimal format;
            //Convert it to hexadecimal format
            StringBuilder sb = new StringBuilder();
            for(int i=0; i< bytes.length ;i++)
            {
                sb.append(Integer.toString((bytes[i] & 0xff) + 0x100, 16).substring(1));
            }
            //Get complete hashed password in hex format
            generatedPassword = sb.toString();
        }
        catch (NoSuchAlgorithmException e)
        {
            e.printStackTrace();
        }
        return generatedPassword;
    }

    //Add salt
    private static String getSalt() throws NoSuchAlgorithmException, NoSuchProviderException
    {
        //Always use a SecureRandom generator
        SecureRandom sr = SecureRandom.getInstance("SHA1PRNG", "SUN");
        //Create array for salt
        byte[] salt = new byte[16];
        //Get a random salt
        sr.nextBytes(salt);
        //return salt
        return salt.toString();
    }
}

Ecco una bella e semplice classe di supporto per una funzione hash/sale. Assicurati solo di utilizzare la stessa stringa "salt" creata quando l'utente è stato creato per quando autentichi l'utente, altrimenti l'autenticazione fallirà.

Per quanto riguarda le password, trovo più sicuro utilizzare una funzione hash/salt piuttosto che la crittografia, poiché la crittografia può essere violata con la chiave pubblica/privata corretta.

Puoi trovare ulteriori informazioni sulla crittografia nativa di Java Qui.

MODIFICA

Come ha sottolineato @james large, dovresti randomizzare il sale. Ho modificato il codice per mostrarlo.

Fonte dell'esempio precedente:HowToDoInJava

Ti suggerirei quindi di passare la password salt e crittografata al database durante la creazione di nuovi utenti, quindi ottenere un set di risultati contenente sale e password e inserirlo in un metodo simile a getSecurePassword() e utilizzando il risultato di ciò come convalida.

Spero che questo aiuti!

Modifica - 2

Inserisci un'altra riga nella tua tabella chiamata "sale" (o come preferisci) e inserisci un nuovo utente con una PreparedStatement, in questo modo:

PreparedStatement pstmnt  = connection.prepareStatement
("insert into Usernames(`ID`,`Username`,`Password`,`Account type`, `salt`) values (?,?,?,?,?,)");
pstmnt.setInt(1, id); //would ideally be auto-incremented
pstmnt.setString(2, user); //user String obtained by any means
pstmnt.setString(3, securePassword); //from the hash/salt example above
pstmnt.setString(4, accType); //whatever naming structure you have for account types
pstmnt.setString(5, salt); //from the above example also.
pstmnt.executeUpdate();