paip.提升安全性-------用户口令密码的检测与生成
经过我的发现80%的网站用户密码的加密存储都有着极大的问题..
1.密码是否明文存储 ,一般来说这个明文存储已经很少了。
2.是否只是经过简单的MD5加密.. 按我的经验,大部分网站仍然只是简单的使用MD5来加密用户密码..
3.加密后的密码串是否可以串用。。许多网站的用户加密后的密码串是可以串用的。安全性大大下降。。比如用户a的密码串是md5(xxx),只要在
数据库中把这个md5(xxx)放入用户C的密码字段中,,就可以使用A的密码来登录C的账户...
解决以上问题有以下方法:
1.使用多种不同的HASH算法组合存储密码,比如使用SHA,MD5 组合重复三次,来加密,强度大大增加了。
2.解决加密串串用的问题..需要把用户名代入HASH运算..,为了安全,再加个KEY运算。。 方式: hash(username+password+key)
将运算后的字串做为密码运算结果来存储。。
3.不同的模块使用不同的HASH算法和KEY来加密数据..
伪码如下:
s=username+password+key;
pwdx=hash(s);
hash(stirng s)
{
sha(s)
md5(s)
sha(s)
md5(s)
sha(s)
md5(s)
}
参考:
SHA-1与MD5的比较