10

试图找出 SQL 数据库中的哈希/加密类型。我们想创建一个应用程序来重置密码,但我一辈子都找不到他们是如何产生这个价值的。

这里有多个例子

{enc:1}gdyb21LQTcIANtvYMT7QVQ==
{enc:1}ZEImYhrd/Ot/LcewJCFdMw==
{enc:1}+IOSBzegAx7nSytO1J3GEw==
{enc:1}6ULa1IFMxavY7SE66K3UDg==
{enc:1}UEFeGim2M8d0Iee7ejFRUw==
{enc:1}RjqL5rXOBpqJAKPjYkwLtw==
{enc:1}V/PEslecyYxFki03H4ctAQ==
{enc:1}VDEm9QmD+L7tsqcPz/S9XQ==
{enc:1}YkQuEPpL6dRfDLwKMEVMMg==
{enc:1}86rG96EP7T3tx9e8C7513g==
{enc:1}xvSwvsmkgwtXwVISvg7mJQ==
{enc:1}KjCF0RD4tcUGEP4Bpafw5A==
{enc:1}z9pGrdm4QAoomrFCJCXQIQ==
{enc:1}yhLv0HeW90FENKJjV9Nb+g==
{enc:1}EtYMl5FOW+zdpVvWsIj3Rw==
4

1 回答 1

14

让我们把它拆开:

{enc:1}gdyb21LQTcIANtvYMT7QVQ==

{enc:1}部分可能是某种形式的版本控制。这是相当普遍的,因此您可以随着时间的推移升级您使用的任何散列/加密算法。每个值都标识了用于生成哈希的算法 - 如果实现决定使用不同的方法,它会知道使用第一个版本来验证密码,但随后可以{enc:1}{enc:2}新形式的哈希替换.

其余的是 base64 - 它是 24 个以 == 结尾的字符,这意味着原始值是 16 个字节。

所以它是某种 16 字节(128 位)的散列,带有版本控制前缀。这几乎是我们所能知道的一切......它可以是任何128 位散列,或者可能是 128 位更长的散列(尽管你不得不想知道他们为什么在那时丢弃数据)。

如果您可以使用密码创建自己的用户,则可以执行进一步的测试。例如,两个具有相同密码的用户最终会得到相同的哈希吗?如果不是,如果您从密码 X 更改为密码 Y,然后为单个用户返回密码 X,是否得到相同的哈希值?(值中没有明显的盐,尽管用户名可以用作盐。)

于 2012-04-25T13:26:50.380 回答