我們可通過hash算法對用戶密碼加密之後再存儲,不過最好選用較安全的加密算法,比如SHA(MD5據說已被破解),但僅僅這樣加密就行了嗎?
用戶信息“脫庫”後,黑客利用字典攻擊:維護一個常用密碼的字典表,將字典中每個密碼用hash算法計算hash值,如果用戶“脫庫”後的密文和hash值相等,基本就可以認爲密文對對應的密碼就是字典中的密碼,爲什麼說是基本認爲?因爲可能會存在hash衝突。
針對字典攻擊,我們可以引入一個鹽(salt),與用戶的密碼組合到一起,增加密碼難度,對組合後的字符串做hash算法算法加密,將其存儲到數據庫中,增大破解難度。不過,安全與攻擊是一種博弈關係,不存在絕對的安全,所有安全措施都只是增加攻擊成本而已。