首先来介绍这个模块的重要性,这个模块可以实现单向加密的过程,就是你可以将一串明文通过该模块加密成密文,但是无法将你得到的密文再次通过该模块转换成明文,这个模块今后会伴随你的编程之路,网络编程等方面都会用到,所以这个模块的重要性是不言而喻的,下面来一起学习这个模块吧!
Python的hashlib提供了常见的摘要算法,如MD5,SHA1等等。
摘要算法是什么?
该算法也称为哈希算法和哈希算法。它通过函数将任意长度的数据转换为固定长度的数据字符串(通常由十六进制的字符串表示)。该算法通过摘要函数f()计算任意长度数据的固定长度摘要,以查明原始数据是否被篡改。该算法之所以能够指出数据是否被篡改,是因为摘要函数是单向函数,因此计算f(data)很容易,但通过摘要推断数据很困难。此外,对原始数据稍加修改将导致完全不同的汇总。
MD5的使用
MD5是最常见的摘要算法,速度很快,生成结果是固定的128 bit字节,通常用一个32位的16进制字符串表示
import hashlib
md5 = hashlib.md5()
md5.update(b'123456')
print('密文是',md5.hexdigest())
输出结果:
e10adc3949ba59abbe56e057f20f883e
该模块通常是没有提示的,要自己多多去看源码
SHA1的使用
SHA1的结果是160 bit字节,通常用一个40位的16进制字符串表示。比SHA1更安全的算法是SHA256和SHA512,不过越安全的算法越慢,而且摘要长度更长。
import hashlib
md5 = hashlib.sha1()
md5.update(b'123456')
print(md5.hexdigest())
通过上面两个栗子,我们知道了基本的加密方法,在今后的代码中但凡涉及到密码等敏感事情时我们一定要将他们通过hashlib模块进行加密。
虽然上面对密码进行了加密算法,但是仍然有很多用户喜欢使用123456等一系列的弱密码,黑客可以事先计算出这些常用口令的MD5值,得到一个反推表:
比如以下
'e10adc3949ba59abbe56e057f20f883e': '123456'
'fcea920f7412b5da7be0cf42b8c93759':'1234567'
这样,无需破解,只需要对比数据库的MD5,黑客就获得了使用常用口令的用户账号。这样就会给那些喜欢使用弱密码用户的账号带来很大的安全隐患
给算法加盐
由于常用口令的MD5值很容易被计算出来,所以,要确保存储的用户口令不是那些已经被计算出来的常用口令的MD5,这一方法通过对原始口令加一个复杂字符串来实现,俗称“加盐”下面我们就来看一个加盐的例子
对于123456这个弱密码来说在未'加盐'之前它经过md5加密算法后得到的结果是:'e10adc3949ba59abbe56e057f20f883e',但是用下面方法给它加一个盐得到的结果会是全然不同
import hashlib
md5 = hashlib.md5('salt'.encode('utf8'))
md5.update(b'1234567')
print('加了salt这个盐:',md5.hexdigest())
md5 = hashlib.md5('hello'.encode('utf8'))
md5.update(b'1234567')
print('加了hello这个盐:',md5.hexdigest())
输出结果:
加了salt这个盐: 9c4bd805568b48f15bb0618fe5ba4461
加了hello这个盐: 7167e00f50f3b8ce44b96736f0b7223c
从上面我们可以得知对一个加密算法,给它加不同的盐得到的加密结果是完全不同的,这样如果对用户的密码一一加密的过程中又给它加盐,那么用户数据的安全性就会得到大大的提高,经过Salt处理的MD5口令,只要Salt不被黑客知道,即使用户输入简单口令,也很难通过MD5反推明文口令。
动态加盐
即我们可以将每个用户的一个属性作为盐,此时的盐是随用户的变化而动态变化的,那么想要破解密码,每个用户都需要用一个库去比较,大大增加了破解所有账户的难度。
下面来看一个栗子:
import hashlib
class Student:
def __init__(self,name,age):
self.name = name
self.age = age
Lisa = Student('lisa',18)
salt = Lisa.name + str(Lisa.age)
md5 = hashlib.md5(salt.encode('utf8'))
md5.update(b'1234567')
print('根据用户姓名,年龄得到的盐:',md5.hexdigest())
输出结果:
根据用户姓名,年龄得到的盐: b2cc68dcb05f2fc8636dfd3bcb76191f
上面这个栗子的盐就是根据用户的姓名和年龄组合成相对应的盐,所以说针对不同的用户它们得到的加盐方式是不一样的,这一过程也可以称之为动态加盐