在早几年, 很多网站都用明文来存用户的密码, 结果被拖库了, 裤子脱了, 用户密码被泄漏, 然后就洗库、撞库, 黑产富得流油。 呵呵哒。
后来, 开发人员学学乖了, 传输和存储都不用密码的额明文, 而采用md5值, 这样似乎就解决了问题。 网站后台也不知道用户的密码。
可是, 有一种表, 叫彩虹表, 能根据md5的值反解密码, 于是, 开发人员又学乖了, 采用加盐方式, 让彩虹表几乎无法破解。 这里必须要用随机盐!
在如上方式下, 网站的开发人员也没有办法知道密码, good
但是呢? 有的网站想了另外一个方法: 传输的时候, 还是用明文密码, 不过用https进行传输, 然后在后台服务端仍然能获取用户的明文密码, 然后对这个密码进行哈希或者加密, 存储在数据库中。 我就问一句: 不怕内部人员泄密吗? 不怕内外勾结吗?
所以, 我还是那个观点:如果一个网站后台能有机会接触到用户的明文密码,那就是流氓行为!
不说了。