软件系统密码设计:重置密码与找回密码的区别

[未分类] 季雨林 2019/3/13 10:21:09

现在很多系统,都是基于帐号密码的模式进行系统授权管控数据,保护个人帐号下的数据不被其他用户查看编辑等权限设置。


今天突然有个朋友问我,某系统的密码忘了怎么找回?

我这才意识到,很多系统设计之初就有缺陷:能找回密码的往往不够安全!!!


在密码学里,有种加密级别高的单向加密叫做MD5,软件系统往往不需要知道用户原始密码,当然用户也不愿意让系统的设计方知道自己设计的密码,所以往往都会使用这种单向加密方式保存密码。这样即使软件设计方的数据库暴露泄密,那么黑客拿到的也是一段密文,不清楚密码原文。


很多朋友会问,密码只有密文,那么登录系统怎么判断密码是否正确?

这个问题也是我刚开始学习加密时候的疑问。办法很简单,虽然没法比对密码明文,但是可以将用户登录时候输入的密码明文进行加密,然后跟数据库里的密码密文对比是否一致,如果一致则是正确密码,允许用户登录系统。perfect!!!


所以,笼统来说,能找回密码的系统,往往不够安全!!


原文地址: https://www.opengps.cn/Blog/View.aspx?id=251 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示


鲁ICP备14008001号-2