黑客必须知道使用哪种加密哈希算法来生成校验和并查找值。

为了额外的保护，一些用户密码存储站点在值创建之后但存储之前对密码哈希算法执行额外的功能。这个过程创建一个新的值，只有Web 服务器可以理解并且与原始校验和不匹配。

例如，您输入密码和创建的校验和后，可以将其拆分为多个部分并重新排列，然后保存到密码数据库中，或者可以转换某些字符。更改为另一个。下次尝试进行身份验证时，当用户登录时，Web 服务器会反转此附加功能，并重新创建原始校验和以验证用户密码是否有效。

执行这些步骤将限制发生所有被盗校验和的黑客攻击的可能性。这个想法是执行一个未指定的函数，因此如果黑客知道加密哈希算法但不是自定义的，知道密码校验和是没有帮助的。

密码和加密哈希函数

数据库存储用户密码的方式和彩虹表一样。输入密码后，将创建校验和并与写入用户名的密码进行比较。如果两个值相同，则您被授予访问权限。

假设一个加密哈希函数创建一个不可逆的校验和，创建一个简单的密码是否安全，例如 12345, 而不是 12 @ 34 $ 5 ?答案是否定的，这就是原因。

两个密码都不能只看校验和解密：

1. 12345 的校验和 MD5：827ccb0eea8a706c4c34a16891f84e7b
2. 12 @ 34 $ 5 的校验和 MD5：a4d3cc004f487b18b2ccd4853053818b

乍一看，您可能认为使用这两个密码中的任何一个都可以。这是真的，如果攻击者试图通过猜测 MD5 校验和来找出您的密码，但没有人这样做。通常会进行蛮力或字典攻击（字典攻击），这是一种常见的策略。

当有人多次尝试随机猜测密码时，就会发生蛮力攻击。在这种情况下，很容易猜出12345，，但很难随机找到困难的密码。字典攻击攻击与此类似，攻击者可以尝试常用（和不常用）密码列表中的每个单词、数字或短语，而 12345 就是这些常用密码之一。.

虽然加密哈希函数会产生难以猜测的校验和，但您仍应为所有在线和本地用户帐户使用复杂的密码。

更多关于加密哈希函数的信息

密码散列函数似乎与加密有关，但这两个东西的工作方式不同。

加密是一个双向过程，其中某些内容被编码为不可读，然后被解码以供正常重用。您可以加密已存储的文件，以便访问它们的任何人都无法使用它们，或者您可以使用文件传输加密功能来加密通过网络传输的文件，例如您上传的文件。或在线下载。

加密哈希函数的工作方式不同，因为校验和并不意味着用特殊的 dehash 密码反转。加密哈希函数的唯一目的是比较两条数据，例如在下载文件、存储密码和从数据库中检索数据时。

加密哈希函数可以为不同的数据段创建相同的校验和。当这种情况发生时，它被称为冲突。在考虑使用加密哈希函数为输入的每个数据创建唯一校验和时，这是一个大问题。

一个可能的冲突是因为每个加密哈希函数都会产生一个固定长度的值，而不管输入数据如何。例如，MD5 哈希函数为三个不同的数据块创建 827ccb0eea8a706c4c34a16891f84e7b、1f633b2909b9c1addf32302c7a497983 和 e10adc3949ba59abbe56e057。

第一个校验和来自12345。 第二个校验和由700多个字母和数字组成，第三个校验和来自123456。所有三个输入的长度不同，但结果自使用 MD5 校验和以来，始终只有 32 个字符。

对可以创建的校验和的数量没有限制，因为据说输入中的每个小变化都会产生完全不同的校验和。因为加密哈希函数可以生成的校验和的数量是有限制的，所以您总是可能会遇到冲突。

这就是创建其他加密哈希函数的原因。 MD5 只生成 32 个字符，而 SHA-1 生成 40 个字符，SHA-2 (512) 生成 128 个字符的值。校验和的字符越多，发生冲突的可能性就越小。