關於密碼的安全性,我相信這是一個永遠沒有終點的賽跑
在我們程序開發當中,保護用戶賬號密碼和資料是非常重要的,有人多人都單單只是加密用戶密碼,但是卻遺忘了用戶的帳號加密也是很重要的;
我們最常見的應該就是HASH加密,一般生成出來的都是32位的碼,而且MD5不可逆,但是隨着大數據的強大,你可以在網上搜到一些MD5的在線解密,像123456這樣的加密後,去在線解密我相信是幾秒鐘就能破解的事情,雖然你的密碼不會這麼簡單,但是隨着大數據的到來,你認爲我們的密碼如果再採用如此大衆的加密,還能堅守多久?
我們應該多提高加密的複雜性
(1)可以採用密碼加鹽然後去加密,這樣是比較多開發者所使用的;
(2)在使用larval框架時,框架裏的Crypt加密在我看在是非常不錯的,他會隨機生成100+ ~ 200+左右長度的字符串密碼,而且是動態的,每次刷新都會改變加密後的字符串而且長度也會產生變化,這大大提高了別人的破解難度;
(3)使用base64加密也是可以的,大同小異的;
(4)其實最好自己寫一套獨特的加密方式,不走大衆化路線,偶爾也自己走走非主流路線嘛
可以嘗試將用戶最後一次登錄的時間戳紀錄下來,然後每次加密就截取時間戳的前幾位數拼接原密碼,其實這樣是跟加鹽類似的,不過這樣的話,鹽會比較動態而不是固定的;
(5)SHA1加密;
一般大公司是非常注重安全性的,尤其是商城類型的公司或者其他信息平臺,涉及到金錢交易和用戶信息等,而且不單單在密碼方面嚴加監控,整個系統網站的數據過濾,入口來源捕獲和惡意行爲黑名單等等,所以我們在注重技術層面提高的同時,也需要不斷提高自己系統網站的安全防護,小白的淺談,廢話多多,多指點!
