VIKEnut'

Pt

DeutschEspañol

Tema escuro

Write

Tema escuro

Pt

DeutschEspañol
hashrandomsalt-creationjavasalt

Java - Gerar um sal aleatório não é aleatório

Estou tentando gerar um salt em Java para usar com um algoritmo de hash para armazenamento seguro de senhas. Estou usando o seguinte código para criar o sal aleatório:

private static String getSalt() throws NoSuchAlgorithmException {
    SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
    byte[] salt = new byte[16];
    sr.nextBytes(salt);
    System.out.println(salt.toString());
    return salt.toString();
}

O que deve gerar um sal completamente seguro e gerado aleatoriamente para usar no meu algoritmo de hash. Porém, quando executo o código, ele continua produzindo o mesmo sal todas as vezes ... Indicando que o sal que está sendo gerado não é aleatório.

Por motivos óbvios de segurança, cada usuário precisa de um sal exclusivo. No entanto, se eu usar esse código sempre que uma nova conta for criada, cada usuário terá o mesmo sal, derrotando o objetivo de tê-lo em primeiro lugar.

Minha pergunta é a seguinte: por que isso continua me dando o mesmo sal e o que posso fazer para garantir que o sal gerado seja completamente aleatório toda vez que o código for executado?

EDITAR:

Pensei em incluir o código fonte de todo o programa de hash que foi corrigido e funciona corretamente. Este é um protótipo simples para simular a geração do hash na criação da conta e a verificação da senha ao efetuar login no sistema.

package hashingwstest;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.util.Random;
import java.util.Scanner;


public class HashingWSTest {

    public static void main(String[] args) throws NoSuchAlgorithmException {
        Scanner sc = new Scanner(System.in);
        System.out.print("Enter Password: ");
        String passwordToHash = sc.nextLine();

        byte[] bytes = getBytes();
        String salt = new String(bytes);

        String securePassword = hash256(passwordToHash, salt);
        System.out.println("Hash successfully generated");

        System.out.print("Enter your password again: ");
        String checkPassword = sc.nextLine();
        String checkHash = hash256(checkPassword,salt);
        if (checkHash.equals(securePassword)) {
            System.out.println("MATCH");
        }
        else {
            System.out.println("NO MATCH");
        }
    }

    private static String hash256(String passwordToHash, String salt) {
        String generatedPassword = null;
        try {
            MessageDigest md = MessageDigest.getInstance("SHA-256");
            md.update(salt.getBytes());
            byte[] bytes = md.digest(passwordToHash.getBytes());
            StringBuilder sb = new StringBuilder();

            for (int i=0; i<bytes.length; i++) {
                sb.append(Integer.toString((bytes[i] & 0xff) + 0x100, 16).substring(1));
            }
            generatedPassword = sb.toString();
        }
        catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return generatedPassword;
    }

    private static byte[] getBytes() throws NoSuchAlgorithmException {
        SecureRandom sr = SecureRandom.getInstance("SHA1PRNG");
        byte[] bytes = new byte[16];
        sr.nextBytes(bytes);
        return bytes;
    }
}

questionAnswers(4)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

“Ocorreu um erro interno.” Ao carregar o arquivo pfx com X509Certificate2

0 a resposta

Tornar os métodos java visíveis apenas para classes específicas

0 a resposta

Preservando sessão em Java com sendredirect

0 a resposta

data struts2 não pode obter tempo por jQuery datetimepicker

0 a resposta

Alterar a propriedade css do rótulo da caixa de seleção com a caixa de seleção marcada