关于查看用户注册密码的疑问,该如何解决
发布时间:2011-07-03 07:08:05 文章来源:www.iduyao.cn 采编人员:星星草
关于查看用户注册密码的疑问
我作为使用者,自己的注册密码会被管理员或者开发人员看见吗?假设密码是保存在数据库服务器或者LDAP服务器上。
我的想法是如果是加密后保存,那么直接在数据库或者LDAP服务器上是看不到的。那么是否可以通过取出加密后的密码,
通过解密得到用户设置的密码呢?如果可以的话,那么用户的隐私安全不是不能得到保证了。如果不可以的话,那么用户如何
取回自己的密码(在忘记密码的情况下)。
其实就是想问,如果我作为开发人员,如何最大程度的保障用户的隐私安全。
------解决方案--------------------
用md5或sha1加密,这些算法很难被逆运算,虽然已经被山大的王小云教授破解了,不过一般人还是破解不了的。其实你自己写个算法也可以,思路就是将原密码通过一系列乱78糟的计算,算出一个新密码,而新密码无法反向算出原密码,这点只要通过移位或其它手段在计算过程中丢弃一些信息就可以做到。自己写算法的好处就是,只要不广泛应用,很难被破解。
------解决方案--------------------
数据库或LDAP的数据中 保存的都是密码的密文,一般的说管理员看不到
管理员偷用户数据采用更简单的办法:
保存就密码密文;
使用已知密码的密文替换旧密文;
使用已知密码登录用户帐号并活动
替换回旧密文
------解决方案--------------------
楼上二位说得很好了,小补充下
关于md5:近两年山东大学的王晓云破解md5的事情一直沸沸扬扬,不过据我所知,王晓云的方式是典型的弱碰撞,md5的安全性还是值得依靠的。md5安全出问题关键在于http://www.cmd5.com/这样的网站通过收集、对比而来的。楼主如果需要的话,只要产生一个随机数a,对明文加密a次基本上就没有问题了,传说qq的密码要循环加密10w次,orz
关于管理员如果想要偷取用户的资料:这个我觉得不是完全依靠加密算法就可以解决的,就像二楼说的那样。这里的关键在于正确而且充分的权限区分。
友情提示:
信息收集于互联网,如果您发现错误或造成侵权,请及时通知本站更正或删除,具体联系方式见页面底部联系我们,谢谢。
其他相似内容:
-
网络信息安全技术和网络安全技术有什么不同
请问:网络信息安全技术和网络安全技术有什么不同,如果自学网络信息安全技术/网络安全技...
-
请教一域名解析到多个共享IP
新买一个域名 17mf8.com
现有两个空间,里面分别放着一个论坛程序,一个主网站程序.两个空间都是共享I...
-
刷客动力搜索引擎seo刷流量刷百度下拉列表刷广告软件的用法(配图)
先看官方的介绍:
刷客动力网络营销系统工具是由好耶网络(...
-
CryptAcquireContext和CPAcquireContext有什么区别?
最近在搞CSP的开发,一直用CryptAcquireContext这个函数获取句柄,后来看了一些资...
-
冰天雪地裸体腾空360° 跪玻璃 求一个收费的长期的稳定快速的VPN
冰天雪地裸体腾空360° 跪玻璃 求一个收费的长期的稳定...
-
全国大学生信息安全竞赛
我是一位大二的信息安全专业的学生,想参加明年的全国大学生信息安全竞赛,不过不知道选什么课题之类的,比较...
-
网址能ping通,但是打不开网页
今天遇到这么一个问题。
网页打不开,提示说“载入页面时到服务器的连接被重置”,也不知道是怎么回事,但...
-
对Nfsen和Nfdump比较熟的来指点我下
假如我想抓网络信息,用Nfdump将nfcapd抓的信息解析出来可以存入一个文本,然后在nfsen图形界面...
-
不装杀毒软件电脑会有多大的危险?
装了个卡巴斯基,结果用个word它都查杀,杀毒能力强,但这是宁可错杀一千,不能漏网一个的手段,感觉这软...
-
笔记本装了win7通过无线路由上网,虚拟机装了fedora。fedora 无法ping通win7
笔记本装了win7通过无线路由上网,虚拟机装了fedora。fe...