您当前的位置:
关于查看用户注册密码的疑问
我作为使用者,自己的注册密码会被管理员或者开发人员看见吗?假设密码是保存在数据库服务器或者LDAP服务器上。
我的想法是如果是加密后保存,那么直接在数据库或者LDAP服务器上是看不到的。那么是否可以通过取出加密后的密码,
通过解密得到用户设置的密码呢?如果可以的话,那么用户的隐私安全不是不能得到保证了。如果不可以的话,那么用户如何
取回自己的密码(在忘记密码的情况下)。
其实就是想问,如果我作为开发人员,如何最大程度的保障用户的隐私安全。
------解决方案--------------------
用md5或sha1加密,这些算法很难被逆运算,虽然已经被山大的王小云教授破解了,不过一般人还是破解不了的。其实你自己写个算法也可以,思路就是将原密码通过一系列乱78糟的计算,算出一个新密码,而新密码无法反向算出原密码,这点只要通过移位或其它手段在计算过程中丢弃一些信息就可以做到。自己写算法的好处就是,只要不广泛应用,很难被破解。
------解决方案--------------------
数据库或LDAP的数据中 保存的都是密码的密文,一般的说管理员看不到
管理员偷用户数据采用更简单的办法:
保存就密码密文;
使用已知密码的密文替换旧密文;
使用已知密码登录用户帐号并活动
替换回旧密文
------解决方案--------------------
楼上二位说得很好了,小补充下
关于md5:近两年山东大学的王晓云破解md5的事情一直沸沸扬扬,不过据我所知,王晓云的方式是典型的弱碰撞,md5的安全性还是值得依靠的。md5安全出问题关键在于http://www.cmd5.com/这样的网站通过收集、对比而来的。楼主如果需要的话,只要产生一个随机数a,对明文加密a次基本上就没有问题了,传说qq的密码要循环加密10w次,orz
关于管理员如果想要偷取用户的资料:这个我觉得不是完全依靠加密算法就可以解决的,就像二楼说的那样。这里的关键在于正确而且充分的权限区分。