重置密码与找回密码的差异分析(密码加密处理方式简介)

[软件开发] 季雨林 2020/12/5 13:09:44

很多系统,都存在忘记密码问题,在处理这个问题的时候,有个细节不知道大家是否注意到:

有的系统,提供的是“找回密码”功能;

有的系统,提供的是“重置密码”功能;

这两个操作看起来挺相似的,都是为了能够恢复正常的密码登录,但是实现原理上却有着很明显的差异:密码是否进行了不可逆加密!


正常大家登录的各种网站,密码一般来说都是密文,也就是说,及时后台数据库运维的,虽然能看到数据库里的数据,但是看不到明文内容从而来说你的密码是安全的。当然,不排除某些依然有些系统的明文密码入库做法。

密文入库,常见的密码处理:

编码处理法:

比如密码“123456”存入base64字符是“MTIzNDU2”。这个编码方式非常的初级,因为base64轻松可以解码看到明文密码

有对称加密:

比如“123456”使用密钥“xxxxxx”加密后的字符是“yyyyyyy”,这种处理方式,加密解密很容易,但是对于不知道密钥的人来说,约等于不可解密

非对称加密:

比如“123456”使用密钥“xxxxxx”加密后的字符是“zzzzzzzz”,但是“zzzzzzzz”使用“xxxxxx”却不能解密,反而是使用与“xxxxxx”对应的“iiiiiiii”才能解密出123456。安全度比对称加密高了一层。

不可逆加密:

听起来可能容易不理解,密码做了不可逆加密,哪怎么能用?实际上用法很简单,那就是知道原文的人,使用同样方法加密,然后对比密文是否相同即可,比如“123456”的MD5加密结果是“E10ADC3949BA59ABBE56E057F20F883E”。这种加密,安全级别高了许多,通过计算的方式解密可能性趋向于0,即使有人使用查表法来破解,那也得需要构造一个极其庞大的“MD5加密结果对照库”。

综合加密法:

密码的处理,为了防止破解,往往进行一系列的干扰操作,比如多种加密方式进行“多次加密”、原密码按照某些规则“加盐”等等。


介绍完了常见密码的处理方式,回到正文:

密码找回,侧重于找回,也就是说,能拿回原来设置的密码,以前的系统往往会提供这种功能,甚至有些系统在注册的时候,甚至有使用邮箱发送原始密码的做法。可见其密码存储方式,至少是可逆的,甚至可能是明文入库;

密码重置,通过某些比较安全的系数进行授权认证,然后允许用户重新设置密码,整个过程不需要原来的密码,这种情况下,密码可能是采用了不可逆加密的密文存储。所以无法提供“找回”功能,只能重置,安全上来说,是比较先进的安全做法。



原文地址: https://www.opengps.cn/Blog/View.aspx?id=829 文章的更新编辑依此链接为准。欢迎关注源站原创文章!

评论

暂无评论!

发表评论:

用于接收作者回复信息
点击更换验证码 - openGPS提示