爲什麼Digester爲同樣的消息，代碼和迭代生成不同的哈希碼

Question

我在春季安全中編寫了一個哈希碼隱藏方法。在這種方法中，我將在數據庫中保存salt值和迭代大小。當用戶使用純密碼登錄時，下次我將使用鹽值和從數據庫迭代並消化密碼。但是，即使鹽和迭代值相同，此方法也會生成不同的哈希碼。

public Administrator encryptDigestCode(Administrator administrator) { 
    StandardStringDigester digester = new StandardStringDigester(); 
    Administrator admin = new Administrator(); 
    digester.setAlgorithm("SHA-256"); 
    digester.setStringOutputType("base64"); 
    Random ran = new Random(); 
    int iterate = ran.nextInt(1000); 
    digester.setIterations(iterate); 
    RandomSaltGenerator ram = new RandomSaltGenerator(); 
    byte[] salt = ram.generateSalt(10); 
    String pass = new String(salt) + administrator.getHashedPassword(); 
    String encryptedPassword = digester.digest(pass); 
    if (digester.matches(administrator.getHashedPassword(), 
      encryptedPassword)) { 
     admin.setLoginDetail(new LoginDetail()); 
     admin.getLoginDetail().setSalt(new String(ram.generateSalt(10))); 
     admin.getLoginDetail().setHashingCycle(iterate); 
     admin.setUserName(administrator.getUsername()); 
     admin.setSesamiagreementno(administrator.getSesamiagreementno()); 
     admin.setHashedPassword(encryptedPassword); 
    } else { 
     admin.setLoginDetail(null); 
     admin.setHashedPassword(null); 
     admin.setUserName(null); 
    } 
    return admin; 
} 

我應該怎麼做？任何代碼或網站以供參考。謝謝

Answer 1

看起來像你使用隨機鹽。當然，哈希總是不同的。

---

而且還有一個第二隨機值

Random ran = new Random(); 
int iterate = ran.nextInt(1000); 
digester.setIterations(iterate); 

我希望，這也進水的結果。所以，如果你沒有運氣，那麼得到相同的隨機值兩次，哈希是不同的。

Answer 2

線

admin.getLoginDetail().setSalt(new String(ram.generateSalt(10)));

是錯誤的。首先，它會生成一個新的隨機鹽，並將其放入數據庫而不是使用變量salt。即您可以調用generateSalt兩次：第一個結果用於散列密碼，第二個結果存儲在數據庫中。其次，它將一個隨機的字節數組轉換爲一個字符串。 除非您確定這些字節與可打印字符相對應，否則您應該在這裏使用base64編碼（當然，必要時也可以進行適當的解碼）。

同樣使用隨機整數進行迭代次數並不是一個好主意。迭代次數應該對一個計算成本昂貴的單個目標進行強力攻擊。如果你在這裏使用一個隨機數，那麼攻擊者可能會試圖找到迭代計數最低的用戶並開始攻擊這個密碼。