如若网站保存MD5或者其他方法加密的密码还有泄漏的风险吗
日期:2014-05-17 浏览次数:20420 次
如果网站保存MD5或者其他方法加密的密码还有泄漏的风险吗?
原始密码只有用户自己知道,网站也不知道。
并且这个加密算法加上网站自己的一个密码串,那么即使数据库被攻破了,拿到的密码实际上也没用,既不能用来登陆,也不能用于多个网站的通用,即使那个用户各个网站用到都是相同的用户名和密码。
------解决方案--------------------
如果盐值强度够,而且没有泄露的话。应该没问题
------解决方案--------------------
------解决方案--------------------
你的理解很对,单独的MD5不是安全的(你可以搜下"在线MD5"),这个也看用户密码的复杂度。如果你的网站保存用户的原始密码,那么公司的程序员都能看到这个密码,而一般用户习惯是所有网站都用同一个用户名和密码。就不说数据被人导出,就是某个变态的程序员,拿着本站的用户名和密码到大的网站试试,估计10个得有7个能登录。
再次鄙视csdn!害得我把所有注册的网站改了一遍。
原始密码只有用户自己知道,网站也不知道。
并且这个加密算法加上网站自己的一个密码串,那么即使数据库被攻破了,拿到的密码实际上也没用,既不能用来登陆,也不能用于多个网站的通用,即使那个用户各个网站用到都是相同的用户名和密码。
------解决方案--------------------
如果盐值强度够,而且没有泄露的话。应该没问题
------解决方案--------------------
------解决方案--------------------
你的理解很对,单独的MD5不是安全的(你可以搜下"在线MD5"),这个也看用户密码的复杂度。如果你的网站保存用户的原始密码,那么公司的程序员都能看到这个密码,而一般用户习惯是所有网站都用同一个用户名和密码。就不说数据被人导出,就是某个变态的程序员,拿着本站的用户名和密码到大的网站试试,估计10个得有7个能登录。
再次鄙视csdn!害得我把所有注册的网站改了一遍。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
