百度旗下视频网站:奇艺测试版上线(送50
云端软件平台更新,并推出企业版
今天因为分享一些内容,需要登陆开心网http://www.kaixin001.com。但许久没登陆我的帐户,都不记得密码了。于是尝试用找回密码功能。
填入注册时的邮箱,点击取回密码就好了,十分简单。这一点我倒是喜欢。我用的是Hotmail的自定义域邮箱。邮件也来得非常快。几乎在点击取回密码的那一瞬间就收到邮件了。但打开邮件一看,不禁让我大跌眼镜。开心网直接把我的密码发给我了,而且是明文!
我们知道,网站的用户信息都是保存在数据库里的。如果用户的密码以明文存储,一旦被入侵或者爆库,那么用户的密码将落入别人手里。这是极大的安全隐患。
所以一般密码应该加密存储。一般的作法是在密码提交时进行不可逆的MD5等算法将明文密码进行加密后再存储在数据库中的密码列中。这样就算被入侵者拿到了用户数据库,也无法轻易地破解出密码。如果采用暴力破解,那破解的时间足以让他落入法网了。
如果将密码采用MD5加密存储,服务提供商本身也是不知道用户的密码的。因为用户设置了密码被存储时是加密的,而加密后的密码是不可逆的。这样用户需要找回密码时,电子邮件里应该是包含一条修改密码的链接。而不是直接以明文方式把密码通知给用户。而开心网这样的做法,至少说明用户密码的加密方式是可逆的,甚至不排除有明文存储用户密码的可能。
分享按钮 From: 本站原创
副产物:很多人喜欢用QQ邮箱注册开心网,而且密码还和QQ密码一样,只可惜QQ密保太强大。
这个结论是有些主观了。
只能说明若密码是加密存储的,便是可逆的。原文已修改。