这几天看了一下密码安全方面的资料,包括数据库中密码的保存方式,前端密码的传送等等。

感觉,MD5破解如此简单,网络上那么多明目张胆的提供hash查询的。

加点佐料来hash数据库中的密码,还是基本的安全措施,必须要做,否则hash基本无用,虽然也不能保证绝对安全。

用户密码太弱智,就算再安全的hash算法,也无用。

前端https还是相当重要,javascript来hash用户端密码基本无用,算法都暴露在外面了。

可是国内还是那么多网站,B2C网站基本的https都没有,情何以堪… 想到以前的明文密码时间,更是离谱…

参考一下下面几个网站的看看。

http://dustwell.com/how-to-handle-passwords.html

http://www.cnblogs.com/lixiong/archive/2011/12/24/2300098.html

http://codahale.com/how-to-safely-store-a-password/