我们已经讨论了很多有关密码的问题,但是您是否想知道网站如何保护这些密码免受恶意攻击?毕竟,只有最差的网站才实际以纯文本形式存储密码。
它们使用称为哈希的过程进行加密,该过程采用一系列字符并将其转换为完全不同的字符。在一个方向上做到这一点确实很容易,但是试图扭转它几乎是不可能的。
困惑吗?没关系。几秒钟后,它就会变得清晰起来。
例如,您可能具有密码 examplepass ,但网站实际上并没有在其数据库中存储“ examplepass"。相反,他们通过哈希函数运行它,将其转换为不同的字符序列,例如 6XF $#14Az @ Q ,这就是它们存储的内容。
所以如果有人闯入了Facebook或YouTube的数据库,他们将很难破解您的密码。即使 examplepass 散列为 6XF $#14Az @ Q ,它也无法正常工作。
因此,当您在Facebook中输入密码时,网站不会显示“用户输入examplepass"。这是他们的密码吗?",因为那绝对是不安全的。相反,该网站会对您的密码进行哈希处理,并对照其哈希密码数据库进行检查。
如果将哈希与哈希匹配,则表示您输入的密码正确。
这说明了“忘记密码"链接为何会如此行为。网站无法通过电子邮件将密码发送给您,因为它们不知道密码是什么!相反,他们使用临时密码重设了您的密码,或要求您设置一个新密码,以便他们可以更新为您保存的记录。
— Ben Waugh(@benwaughuk),2015年11月4日
如果您收到带有纯文本密码密码的电子邮件,则发件人的站点不安全,您应该认真考虑如何处理它们。任何以纯文本形式保存密码的人都在自找麻烦。请查看纯文本违规者以获取示例。
您知道密码的存储方式吗?您是否曾通过电子邮件收到过密码?让我们在下面告诉您您的经验!
图片来源:通过Shutterstock.com的Maxx-Studio
