这几天看了一下密码安全方面的资料，包括数据库中密码的保存方式，前端密码的传送等等。

感觉，MD5破解如此简单，网络上那么多明目张胆的提供hash查询的。

加点佐料来hash数据库中的密码，还是基本的安全措施，必须要做，否则hash基本无用，虽然也不能保证绝对安全。

用户密码太弱智，就算再安全的hash算法，也无用。

前端https还是相当重要，javascript来hash用户端密码基本无用，算法都暴露在外面了。

可是国内还是那么多网站，B2C网站基本的https都没有，情何以堪… 想到以前的明文密码时间，更是离谱…

参考一下下面几个网站的看看。

http://dustwell.com/how-to-handle-passwords.html

http://www.cnblogs.com/lixiong/archive/2011/12/24/2300098.html

http://codahale.com/how-to-safely-store-a-password/