前言
你的密码安全吗?
我们经常要注册各种网站账号,包括手机App端,或者电脑网页端等等。 我们有那么多个人数据保存在各个网站,甚至有隐私数据或者支付数据。 又或者是,很多你仅仅是偶尔用一次的网站,也必须要求你注册登录后才能正常使用功能。
我们注册了那么多大大小小的网站,但是你的密码足够安全吗?
网站员工知道我的密码吗?
你可能认为,网站管理者理论上知道我在这个网站的一切行为数据,网站知不知道我的密码还有意义吗?
这个问题的回答是肯定的,因为假如破解了你的其中一个网站的密码,那就可以通过撞库的方式,对你在其他网站的账号进行攻击。至于什么是撞库,以及如何避免撞库,我们会在下文中介绍。
加密存储
网站保存密码数据技术上通常采用加密保存,根据不同的加密方式,密码破译的难度也存在较大区别。
加密技术分为对称密钥加密和非对称密钥加密,两种加密方式都可以通过密钥进行解密。但假如密钥泄漏,则会造成密码泄漏。
此外,还有通过哈希的方式保存密码,这种方式通常都是单向哈希,如果哈希算法足够复杂,理论上无法得到原本的明文。
本站即采用哈希算法对密码进行加密存储,假如您在本站注册账号,即便是我本人也无法知晓您的真实密码明文。 哪怕是本站数据库遭到攻击,数据库数据泄漏,理论上攻击者短时间内也无法破译得到密码的明文。
明文存储
显然,除了加密存储之外,就是明文存储了。 字面意思,就是网站会将您的密码明文直接保存到数据库,网站数据库的管理员可以轻易查询到您的密码,并可以对您其他网站进行攻击。
即便该网站的管理员道德操守比较高,在已经知晓您密码的前提下也不会对您在其他网站的数据发起攻击。但是这种方案总归存在风险,假如该网站的数据库数据泄漏,那么攻击者便可以拿到该网站全部用户的密码数据,并可以以这些密码数据对其他网站继续发起攻击!
著名程序员博客网站CSDN,在2011年便发生过“密码外泄门”事件,其中很大一部分原因,便是由于CSDN网站在早期使用了明文密码!
明文存储存在很大的安全隐患,理论上应被所有网站所摒弃。但是不乏一些网站没有安全意识,或者故意为之,无法保障我们的密码安全。因此,在一些小网站上注册账号还是需要多加小心,尽量避免和其他网站采用同样的密码。
网站是如何保护我们的密码的?
在早些年,很多人都听说过朋友的QQ号被盗了,很有可能就是密码泄漏了。可见即便是如腾讯这样的大厂,也无法完全保障我们的密码安全。
未完待续......
评论区
0/2048