现在很多系统,都是基于帐号密码的模式进行系统授权管控数据,保护个人帐号下的数据不被其他用户查看编辑等权限设置。
今天突然有个朋友问我,某系统的密码忘了怎么找回?
我这才意识到,很多系统设计之初就有缺陷:能找回密码的往往不够安全!!!
在密码学里,有种加密级别高的单向加密叫做MD5,软件系统往往不需要知道用户原始密码,当然用户也不愿意让系统的设计方知道自己设计的密码,所以往往都会使用这种单向加密方式保存密码。这样即使软件设计方的数据库暴露泄密,那么黑客拿到的也是一段密文,不清楚密码原文。
很多朋友会问,密码只有密文,那么登录系统怎么判断密码是否正确?
这个问题也是我刚开始学习加密时候的疑问。办法很简单,虽然没法比对密码明文,但是可以将用户登录时候输入的密码明文进行加密,然后跟数据库里的密码密文对比是否一致,如果一致则是正确密码,允许用户登录系统。perfect!!!
所以,笼统来说,能找回密码的系统,往往不够安全!!
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=251
文章的更新编辑依此链接为准。欢迎关注源站原创文章!