最近几年太多密码泄露问题了。出问题原因有几个:
1、明文保存密码。这个以CSDN为首,居然超过10年都这样,偶实在无话可说。
2、只对密码加密,只要密码相同,无论用什么加密方式(对称,非对称,多种加密方式混用),加密后的内容都一样。这种方式的问题在于太多的用户用的密码相同了,只要破解一个密码,一批用户的密码也就出来了。知道一个用户的明文和密文,就可以很快推出其加密算法,再把常用的10W个密码进行加密,有1000W用户,几个小时,大部分用户的密码也都知道了。
解决办法:将用户账号和密码一起进行非对称加密,用户登录时再按同样方式加密后与之前保存的数据进行比对。这种方式保证了不同用户密码就算一样,加密后的结果也是不一样的。就算知道加密算法,也只能一个个暴力破解。
3、用第三方的已破解库进行比对。这种只能靠用户自己了,毕竟谁也保证不了别人的数据库的安全。
原文:http://blog.csdn.net/flyxxxxx/article/details/42169101