关于密码的安全性,我相信这是一个永远没有终点的赛跑
在我们程序开发当中,保护用户账号密码和资料是非常重要的,有人多人都单单只是加密用户密码,但是却遗忘了用户的帐号加密也是很重要的;
我们最常见的应该就是HASH加密,一般生成出来的都是32位的码,而且MD5不可逆,但是随着大数据的强大,你可以在网上搜到一些MD5的在线解密,像123456这样的加密后,去在线解密我相信是几秒钟就能破解的事情,虽然你的密码不会这么简单,但是随着大数据的到来,你认为我们的密码如果再采用如此大众的加密,还能坚守多久?
我们应该多提高加密的复杂性
(1)可以采用密码加盐然后去加密,这样是比较多开发者所使用的;
(2)在使用larval框架时,框架里的Crypt加密在我看在是非常不错的,他会随机生成100+ ~ 200+左右长度的字符串密码,而且是动态的,每次刷新都会改变加密后的字符串而且长度也会产生变化,这大大提高了别人的破解难度;
(3)使用base64加密也是可以的,大同小异的;
(4)其实最好自己写一套独特的加密方式,不走大众化路线,偶尔也自己走走非主流路线嘛
可以尝试将用户最后一次登录的时间戳纪录下来,然后每次加密就截取时间戳的前几位数拼接原密码,其实这样是跟加盐类似的,不过这样的话,盐会比较动态而不是固定的;
(5)SHA1加密;
一般大公司是非常注重安全性的,尤其是商城类型的公司或者其他信息平台,涉及到金钱交易和用户信息等,而且不单单在密码方面严加监控,整个系统网站的数据过滤,入口来源捕获和恶意行为黑名单等等,所以我们在注重技术层面提高的同时,也需要不断提高自己系统网站的安全防护,小白的浅谈,废话多多,多指点!
