- 主题:用户的密码安全如何保证?
一般网站的密码是不是都是通过一定的加密算法,存到数据库里面?
网站开发公司的数据库,一般开发者都能接触得到用户的密码吧。比如我一个朋友为一
个开发一个应用系统,平时用的测试开发库,里面的数据都是真实数据。
而很多用户的密码就一个…
--
FROM 211.99.222.*
md5+ salt。。
数据库里头不存放原始密码,存放加盐后md5的结果就是了
【 在 snnth (love me more) 的大作中提到: 】
: 一般网站的密码是不是都是通过一定的加密算法,存到数据库里面?
: 网站开发公司的数据库,一般开发者都能接触得到用户的密码吧。比如我一个朋友为一
: 个开发一个应用系统,平时用的测试开发库,里面的数据都是真实数据。
: ...................
--
FROM 61.135.255.83
当然这个看开发人员的职业操守了
【 在 sly9 (= =b) 的大作中提到: 】
: md5+ salt。。
: 数据库里头不存放原始密码,存放加盐后md5的结果就是了
--
FROM 61.135.255.83
为啥要加盐不能直接md5?
为啥非得md5不能sha1
【 在 sly9 (= =b) 的大作中提到: 】
: md5+ salt。。
: 数据库里头不存放原始密码,存放加盐后md5的结果就是了
--
FROM 202.108.12.*
哦,直接md5的结果太容易被猜测出来了
不是说8位还是多少位以下的字符串的md5的结果都被人们枚举后收集起来了,这样弱密码的md5结果一旦被发现,那个用户的密码就暴露了,但加盐后就不怕被截获md5结果了,毕竟那个“盐”猜不出来,即使是个弱密码,可能加上盐之后也有十几位,是没法简单的猜测到的。。
sha1……我只是觉得md5的应用率似乎更高一些,当然其他的hash算法都可以的了
【 在 sallydyw (Iris|木秀于林,风必吹之) 的大作中提到: 】
: 为啥要加盐不能直接md5?
: 为啥非得md5不能sha1
--
FROM 61.135.255.83
我上次做过一个网站,用的是直接将原字符串*3后md5.....
比如用户密码为admin,则数据库里存的是"adminadminadmin"的md5值....
【 在 N92 (N92) 的大作中提到: 】
: 加盐是肯定要的,要不然很多弱密码已经被穷举了
--
FROM 202.108.12.*
没办法,admin的md5值我都快会背了。。。。。
【 在 N92 (N92) 的大作中提到: 】
: 也是一个办法吧,加盐普遍些,至少就不那么好穷举了
--
FROM 202.108.12.*
加盐,再加上用户名
不然相同的密码可能生成相同的hash
【 在 N92 (N92) 的大作中提到: 】
: 标 题: Re: 用户的密码安全如何保证?
: 发信站: 水木社区 (Fri Aug 14 22:13:37 2009), 站内
:
: 也是一个办法吧,加盐普遍些,至少就不那么好穷举了
: 【 在 sallydyw (Iris|木秀于林,风必吹之) 的大作中提到: 】
: : 我上次做过一个网站,用的是直接将原字符串*3后md5.....
: : 比如用户密码为admin,则数据库里存的是"adminadminadmin"的md5值....
:
:
: --
:
:
:
: ※ 来源:·水木社区 newsmth.net·[FROM: 202.108.12.*]
--
FROM 219.236.32.*
比如sina这样的公司,会有什么措施防止开发人员获得用户的信息呢?
不但是密码,用户的注册信息,DBA们是不是也可以轻易偷走?
另外一些用现成模板建站的比如discuz,管理员可以知道注册用户的密码吗?
【 在 sly9 (= =b) 的大作中提到: 】
: 当然这个看开发人员的职业操守了
--
FROM 211.151.248.*
有权限部署程序的人稍微懂一点php的话,随手写段代码就能截获了
【 在 N92 (N92) 的大作中提到: 】
: 当然no
--
FROM 219.236.32.*