开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Python:哈希密码和验证密码不同

基础概念

哈希密码（Hashing Passwords）是一种将密码转换为固定长度字符串的过程，这个过程是不可逆的。这意味着你无法从哈希值中恢复原始密码。哈希函数通常用于存储密码，因为它可以防止即使数据库被泄露，攻击者也无法轻易获取用户的原始密码。

验证密码（Password Verification）是指在用户输入密码后，系统将其与存储的哈希值进行比较，以确认用户输入的密码是否正确。

相关优势

安全性：哈希密码可以防止密码泄露，因为即使数据库被攻击，攻击者也无法获取用户的原始密码。
不可逆性：哈希函数是不可逆的，这意味着你无法从哈希值中恢复原始密码。
一致性：相同的输入总是会产生相同的哈希值，这使得验证过程非常可靠。

类型

常见的哈希算法包括：

MD5：一种广泛使用的哈希算法，但已被证明不够安全。
SHA-1：比MD5更安全，但也被认为不够安全。
SHA-256：一种更安全的哈希算法，广泛用于现代系统。
bcrypt：一种专门设计用于密码哈希的算法，具有内置的盐（salt）和成本因子（cost factor），可以有效防止暴力破解。

应用场景

哈希密码广泛应用于各种需要存储用户密码的场景，如：

网站登录系统
应用程序用户认证
数据库中的敏感信息存储

问题及解决方法

问题：哈希密码和验证密码不同

原因：

使用了不同的哈希算法：在存储密码时使用了一种哈希算法，而在验证时使用了另一种算法。
没有正确处理盐（salt）：如果使用了带有盐的哈希算法，存储和验证时必须使用相同的盐。
输入错误：用户在验证时输入了错误的密码。

解决方法：

确保使用相同的哈希算法：
确保使用相同的哈希算法：
正确处理盐（salt）：
正确处理盐（salt）：
检查用户输入：确保用户在验证时输入了正确的密码。

参考链接

通过以上方法，可以确保哈希密码和验证密码的一致性，从而提高系统的安全性。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何在Python中实现安全的密码存储与验证

在现代互联网时代，安全性已经成为一个非常重要的问题。在我们的日常生活中，我们会使用许多网站和应用程序，而这些网站和应用程序通常要求我们提供密码来保护我们的个人信息。然而，密码泄露事件时有发生，我们经常听到关于黑客攻击和数据泄露的新闻。那么，如何在Python中实现安全的密码存储与验证呢？本文将向你介绍一些实际的操作和技术。

02

Impackt 工具包使用指南- SMB / MSRPC

Impacket 工具包是红队人员内网横向使用频率最多的工具包之一，而Impacket 是一个标准 Python 类库，用于对 SMB1-3 或 IPv4 / IPv6 上的 TCP、UDP、ICMP、IGMP，ARP，IPv4，IPv6，SMB，MSRPC，NTLM，Kerberos，WMI，LDAP 等协议进行低级编程访问。在 impacket 工具包中用到最多的协议就是 smb 协议，SMB 是一种网络协议，也称为服务器消息块协议，它被用于在客户端和服务器之间进行通信，它还可以用来共享文件，打印机和其他一些网络资源。其次就是 MSRPC，MSRPC 或 Microsoft 远程过程调用是 DCE / RPC 的修改版本，它是由 Microsoft 创建的，用于在 Windows 中无缝创建客户端/服务器模型，Windows Server 域协议完全基于 MSRPC。

02

走进Python Hash函数的魔幻世界：解密哈希算法与防碰撞技术

在计算机科学中，Hash函数（散列函数）是一种将输入数据映射到固定大小的散列值（哈希值）的函数。Python提供了强大而灵活的Hash函数，用于在各种应用中实现数据存储、数据校验、加密等功能。本文将从入门到精通介绍Python中Hash函数的使用。

03

看我如何破解OpenNMS哈希密码？

背景在最近的一次渗透测试中，我拿下了一台运行OpenNMS的服务器，并获取了该服务器的root访问权限。在后利用阶段我提取了几个本地用户的哈希密码，我想尝试破解这些哈希值因为这些密码可能会被重复用在其他重要认证上。但对于OpenNMS的哈希密码我几乎一无所知，通过在Google上的一番搜索也并未发现任何有价值的资源。为此，我决定发布一款Python工具以帮助那些OpenNMS服务器的渗透测试者。具初步了解这些哈希密码是base64编码的字符串，前16个字节是盐，剩余的32个字节是sha256（salt.p

06

Python 算法高级篇：布谷鸟哈希算法与分布式哈希表

在今天的计算机科学和分布式系统中，哈希算法是一项关键技术，它被广泛用于数据存储和检索。本篇博客将重点介绍布谷鸟哈希算法和分布式哈希表的原理，以及如何在 Python 中实现它们。每一行代码都将有详细的注释，以帮助你理解算法的实现。

02

在 Python 中隐藏和加密密码？

在当前的数字时代，安全至关重要。在我们作为开发人员的工作中，我们经常处理密码等机密数据。必须使用正确的密码加密和隐藏方法来保护这些敏感数据。Python 中许多可访问的技术和模块可以帮助我们实现这一目标。通过对可用实现的基本思想和示例的解释，本文研究了在 Python 中隐藏和加密密码的最佳技术和方法。

05

全程带阻：记一次授权网络攻防演练（上）

完整攻击链大概包括信息搜集、漏洞利用、建立据点、权限提升、权限维持、横向移动、痕迹清除等七步，虽然这个站点只经历了前四步，但也具有较强的代表性，组合利用漏洞形成攻击连，拿下管理权限。

04

Flask 学习-25.passlib 对密码加密与验证

前言目前常见的不可逆加密算法有以下几种：一次MD5(使用率很高) 将密码与一个随机串进行一次MD5 两次MD5，使用一个随机字符串与密码的md5值再进行一次md5，使用很广泛其它加密环境准备先安装passlib pip install passlib passlib 库里面会用到2个方法 encrypt() - 生成新的值，返回密码哈希 verify() - 根据现有哈希验证密码. 简单使用 Passlib是Python 2和3的密码散列库，它提供了30多种密码散列算法的跨平台实现，以及管理现有密

02

python 数据加密解密以及相关操作

ps:上面SHA系列算法是根据生成的密文的长度而命名的各种算法名称，如SHA1（160bits）、SHA224、SHA256、SHA384等。我们常听说的MD5算法生成的密文长度为128bits

01

加密,各种加密,耙梳加密算法(Encryption)种类以及开发场景中的运用(Python3.10)

不用说火爆一时，全网热议的Web3.0区块链技术，也不必说诸如微信支付、支付宝支付等人们几乎每天都要使用的线上支付业务，单是一个简简单单的注册/登录功能，也和加密技术脱不了干系，本次我们耙梳各种经典的加密算法，试图描摹加密算法在开发场景中的运用技巧。

02

Python3之数据指纹MD5校验与对比

MD5校验码通过散列函数计算而成，可以生成任何数据的数据“指纹”，即我们可以利用MD5将消息或者数据压缩成摘要，是的数据量变小，便于比较验证数据的完整和正确性。因为两个不同的文件几乎不可能拥有相同的MD5哈希值，任何对一个文件的非恶意变更都会导致其MD5哈希值改变。所以MD5哈希常用语检查文件完整性，尤其是检测文件传输、磁盘错误或其他情况文件的正确性。

02

寻找活动目录中使用可逆加密存储密码的账户

密码安全问题一直都受到个人和企业的关注。对于个人而言，或许仅仅只是个人隐私的被公开，而对于企业而言则可能会是灾难性的。为了避免出现这种情况，越来越多的企业都开始使用一些不可逆，且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或个人，仍在使用可逆加密存储其账户密码。一旦使用可逆加密，即使你的密码设置的非常长也可以被攻击者轻易的破解。

01

Active Directory中获取域管理员权限的攻击方法

攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。此处描述的技术“假设破坏”，即攻击者已经在内部系统上站稳脚跟并获得了域用户凭据（也称为后利用）。

01

22.1K Star程序模板!快速开发Web项目

01

106-Django开发在线交易网站

01

Python安全编程面试：常见安全漏洞与防范措施

在Python安全编程的面试过程中，对常见安全漏洞的认知及其防范措施的理解与应用能力至关重要。本文将深入浅出地剖析这些关键点，探讨面试中常见的问题、易错点及应对策略，并通过代码示例进一步加深理解。

01

django 1.8 官方文档翻译：13-1-3 密码管理

密码管理在非必要情况下一般不会重新发明，Django致力于提供一套安全、灵活的工具集来管理用户密码。本文档描述Django存储密码和hash存储方法配置的方式，以及使用hash密码的一些实例。

03

PTH(Pass The Hash)哈希传递攻击手法与防范

大多数渗透测试成员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账号相关的密码散列值(通常是NTLM Hash)来进行攻击。在域环境中，用户登录计算机时使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码。因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。同时，通过哈希传递攻击，攻击者不需要花时间破解密码散列值(从而获得密码明文)

03

Kerberoasting攻击

当发布Windows 2000和Active Directory时，微软打算在 Windows NT 和Windows 95 上也支持Active Directory，这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式。同时，也意味着，微软要保证在多个不同版本的 Windows 客户端上均支持Kerberos协议。要实现这个想法的一个简单的办法就是在Kerberos协议中使用RC4加密算法，并将NTLM密码哈希作为该加密算法的私钥，该私钥可用于加密或签名Kerberos票证。因此，对于攻击者来说，一旦发现了 NTLM 密码哈希，就可以随意使用，包括重新拿回Active Directory域权限（比如：黄金票证和白银票证攻击）。

03

SMB共享之SCF文件攻击解析

SMB是各类组织中广泛使用的一种文件共享协议，而且在很多内部渗透测试过程中，研究人员可以利用这种协议来发现共享文件中包含的敏感信息（例如明文密码和数据库连接信息等等）。但是，即便是一个共享文件中不包含可以用来连接其他系统的凭证数据，只要这个文件给未认证用户提供了写入权限，那么我们就可以用它来获取域用户或Meterpreter Shell的密码哈希。收集哈希在此之前，已经有攻击者使用这种SCF（Shell Command File）文件来执行各种操作了，例如显示Windows桌面或打开Windows资

区块链技术详解和Python实现案例

区块链可以说是互联网成立以来最重要和最具颠覆性的技术之一。它是比特币和其他加密货币背后的核心技术，在过去几年引起大家广泛的关注。区块链的核心是一个分布式数据库，允许双方直接交易，而无需中央机构，也就是通常大家所说的"去中心化"。"去中心化"这个简单而重要的概念对银行、政府和市场等机构具有重大意义，可以说，任何依赖中央数据库作为核心竞争优势的企业或组织都可能受到区块链技术的挑战甚至颠覆。本文的目标是给你一个区块链技术的实用介绍，而不是炒作比特币和其他加密货币概念。第1节和第2节介绍了区块链一些核心概念

05

内网渗透（四） | 域渗透之Kerberoast攻击

kerberoast攻击发生在kerberos协议的TGS_REP阶段，关于kerberos协议详情，传送门：内网渗透 | 域内认证之Kerberos协议详解

02

带你认识 flask 用户登录

在第四章中，用户模型设置了一个password_hash字段，到目前为止还没有被使用到。这个字段的目的是保存用户密码的哈希值，并用于验证用户在登录过程中输入的密码。密码哈希的实现是一个复杂的话题，应该由安全专家来搞定，不过，已经有数个现成的简单易用且功能完备加密库存在了。

01

关于实训项目文件保护系统的总结

此次实训项目的核心内容是文件的保护系统，核心是对文件的加解密。开发之初，本着边做边学习的想法，我们选了毫无基础的python作为开发语言，对语法的不熟悉成为了我们最大的障碍。我们最终所实现的目标有如下几个：简单的用户管理、文件加解密、用户公私密钥的分配。项目的运行过程如下：程序运行后显示登陆界面，用户输入的账号密码在经过哈希后与数据文件做对比，验证成功则进入主界面，并加载当前用户的数据文件，读取本用户的实时数据保险箱。登陆界面可以通过点击按钮跳转注册界面。主界面可以跳转密钥生成界面、实现文件加解密以及加密文件列表的显示。

03

[ffffffff0x] 浅谈windows认证原理

在实战渗透中，常常存在把windows主机作为跳板以此进行横向移动的情况，其实际原理并不难。本篇来谈windows系统的认证原理，并演示抓取密码相关场景。

04

内网渗透 | Kerberos 协议相关安全问题分析与利用

在上一节中我们说到过，Kerberos 认证并不是天衣无缝的，这其中也会有各种漏洞能够被我们利用，比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便详细的讲解一下 Kerberos 认证中的相关安全问题。

03

Django项目如何接入公司LDAP帐号认证

Django项目开发过程中，为了保证安全性，通常都会接入用户帐号认证权限功能，而标题中LDAP是什么呢？当然这个不是本文介绍的重点，简单来说，LDAP是一种目录管理协议，通常公司用于存储员工的计算机登录帐号密码信息用的，而如果Django项目接入LDAP后，相当于登录Django站点时，可以不用再额外为使用该站点的用户去重新注册添加用户，使用者可以直接用各自的计算机登录帐号、密码登录即可。如果想接入LDAP，前提是你们公司有LDAP服务器，当然我相信一般公司都会有，好了，闲话不说了，直接进入主题。

01

通过SSH隧道传递票证

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

03

Python在网络安全与密码学领域的技术实践指南

随着互联网的普及，网络安全和密码学变得愈发重要。Python作为一种强大而灵活的编程语言，为网络安全专业人士提供了丰富的工具和库。本文将介绍如何使用Python进行网络安全与密码学方向的技术实践，包括常见的加密算法、哈希函数、网络安全工具等。

03

干货 | 域渗透之域持久性：Shadow Credentials

https://www.dsinternals.com/wp-content/uploads/eu-19-Grafnetter-Exploiting-Windows-Hello-for-Business.pdf

03

密码学在区块链中的应用：哈希算法与加密解密算法

安全性是实现区块链系统功能的基础，也是目前阻碍区块链应用推广的因素之一。密码学是信息安全的基石，以很小的代价给信息提供一种强有力的安全保护，广泛应用于政治、经济、军事、外交和情报等重要领域。随着近年来计算机网络和通信技术迅猛发展，密码学得到了前所未有的重视并迅速普及，同时应用领域也广为拓展。本文选自《商用区块链技术与实践》一书，主要讲解密码学在区块链中的应用。哈希算法哈希算法（Hash Algorithms）也称为散列算法、杂凑算法或数字指纹，是可以将任意长度的消息压缩为一个固定长度的消息的算法。哈

01

内网渗透 | SPN 与 Kerberoast 攻击讲解

内网渗透 | Kerberos 协议与 Kerberos 认证原理内网渗透 | Kerberos 协议相关安全问题分析与利用

03

内网渗透之哈希传递攻击

大多数渗透测试人员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账户相关的密码散列值(通常是 NTLM Hash)来进行攻击。在域环境中，用户登录计算机时使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码，因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。同时，通过哈希传递攻击攻击者不需要花时间破解哈希密在Windows网络中，散列值就是用来证明身份的（有正确的用户名和密码散列值，就能通过验证），而微软自己的产品和工具显然不会支持这种攻击，于是，攻击者往往会使用第三方工具来完成任务。在Windows Server2012R2及之后版本的操作系统中，默认在内存中不会记录明文密码，因此，攻击者往往会使用工具将散列值传递到其他计算机中，进行权限验证，实现对远程计算机的控制。

02

ADCSsync：基于ESC1执行DCSync技术和哈希转储的强大工具

ADCSsync是一款功能强大的临时性DCSync技术测试工具，该工具基于ESC1实现其功能，虽然该工具在运行速度方面没有优势，但ADCSsync能够在不使用DRSUAPI或卷影副本的情况下有效地执行临时DCSync攻击技术测试。

01

工具的使用 | Impacket的使用

Impacket是用于处理网络协议的Python类的集合，用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP，ARP，IPv4，IPv6，SMB，MSRPC，NTLM，Kerberos，WMI，LDAP等协议进行低级编程访问。数据包可以从头开始构建，也可以从原始数据中解析，而面向对象的API使处理协议的深层次结构变得简单。

01

内网渗透｜谈谈HASH传递那些世人皆知的事

Pass The Hash 即哈希传递攻击，简称 PTH，该攻击方法通过找到与账户相关的密码散列值 NTLM Hash 来进行攻击的。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候，客户端是使用用户的 NTLM Hash 进行计算的，而不是用户密码进行计算的。因此在模拟用户登录或对访问资源的用户进行身份认证的时候，是不需要用户明文密码的，只需要用户 Hash。攻击者可以利用 NTLM HASH 直接远程登录目标主机或反弹 Shell。

02

域控制器

强制域控制器计算机帐户向受威胁者控制的主机进行身份验证可能会导致域受损。涉及强制身份验证的最值得注意的技术是使用加密文件系统远程协议 ( MS-EFSR )的PetitPotam攻击。然而，这不是唯一可以用于域升级的协议。意识到可能被滥用的替代协议可能会给红队运营商带来优势，因为蓝队可能没有实施策略来防止各种协议的域升级。

00

kali Linux系统密码攻击及，基础知识你知道多少

该工具可以通过爬行网站获取关键信息创建一个密码字典。例如输入一个url，它通过提取返回这个url页面源码标签中的一些内容，把这些内容组合成字典，对管理员密码的一个特定枚举就更高效一些。

01

内网横向移动：Kerberos认证与(哈希)票据传递攻击

在上节《内网横向移动：获取域内单机密码与Hash》中，我们讲了如何在内网渗透中抓取主机的的密码和哈希值。获取了Hash，我们可以对其进行破解，破解不出来的，我们就可以利用他们通过PTH、PTT等攻击手法继续对内网横向渗透，即下面要讲的。

01

如何用Java实现密码哈希和加盐存储？

在Java中，可以使用哈希函数和加盐技术来对密码进行安全存储。密码哈希是一种不可逆的转换，它将密码转换为一个固定长度的字符串，该字符串通常称为哈希值。加盐是指在密码哈希过程中引入一个随机字符串，使得相同的密码在不同用户之间生成不同的哈希值，增加密码破解的难度。下面是使用Java实现密码哈希和加盐存储的示例代码。

01

Redis被问到哭?看完这篇，她站起来了……

本篇将介绍redis常用基础命令，可当手册使用；理论篇干货在昨天的福利中有pdf和xmind资源，详见网盘链接。如果觉得安装环境总是出现问题，可以使用在线平台测试Redis命令：http://try.redis.io/ 日拱一卒，我们开始吧！

02

内网渗透 | 域渗透之Dcsync的利用实战

在域环境中，不同域控制器（DC）之间，每 15 分钟都会有一次域数据的同步。当一个域控制器（DC 1）想从其他域控制器（DC 2）获取数据时，DC 1 会向 DC 2 发起一个 GetNCChanges 请求，该请求的数据包括需要同步的数据。如果需要同步的数据比较多，则会重复上述过程。DCSync 就是利用的这个原理，通过 Directory Replication Service（DRS）服务的 GetNCChanges 接口向域控发起数据同步请求。

03

常见加密算法之单向加密

在接口测试过程中，常常会遇到加密算法，今天主要说说一下单向散列加密的4种算法。

02

常见的密码加密方式有哪些？2分钟带你快速了解!

哈喽，大家好呀！这里是码农后端。本篇将带你了解一些常见的密码加密方式。毋庸置疑，密码的安全性对于用户来说是非常重要的，如何保证密码的安全性使其不被破解也是一直以来的一个非常重要的话题。

01

每日一博 - 防范彩虹表攻击_数据库存储密码的秘密武器

加盐（salting）是一种安全存储数据库中密码并验证其真实性的常见方法，它的主要目的是增加密码的安全性，以防止常见的密码攻击，如彩虹表攻击。以下是关于如何使用加盐技术的简要介绍：

05

两个密码验证插件的故事……

很久以前（在遥远的星系中……提示音乐！），MySQL增加了对身份验证插件的支持，这个插件现在称为mysql_native_password。mysql_native_password插件使用SHA1哈希

02

NTLM协议详解

NTLM(New Technology LAN Manager)身份验证协议是微软用于Windows身份验证的主要协议之一。早期SMB协议以明文口令的形式在网络上传输，因此产生了安全性问题。后来出现了LM(LAN Manager)身份验证协议，它是如此的简单以至于很容易被破解。后来微软提出了NTLM身份验证协议，以及更新的NTLM V2版本。NTLM协议既可以为工作组中的机器提供身份验证，也可以用于域环境身份验证。NTLM协议可以为SMB、HTTP、LDAP、SMTP等上层微软应用提供身份认证。

05

加密与安全_深入了解哈希算法

哈希算法是一种重要的加密算法，其核心思想是将任意长度的数据映射为固定长度的哈希值，这个哈希值通常用于验证数据的完整性、索引数据和加速数据查找。

00

域内提权之sAMAccountName欺骗

与标准用户帐户相比计算机帐户的名称末尾附加了$符号，默认情况下Microsoft操作系统缺乏可以防止许多攻击的安全控制和强化措施，此外多年来已经证明Windows生态系统中许多事物工作方式可以通过利用现有功能和工作流程来实现滥用

01

【愚公系列】软考高级-架构设计师 012-加密技术和认证技术

加密技术和认证技术是网络安全和数据保护领域的两个核心组成部分。它们都旨在保护数据的安全性和完整性，但各自关注的方面和实现的方式不同。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭