歡迎來到小豬圈!

2007-10-24

存儲密碼

  • 絕對不要用明文儲存密碼!
  • 一個常見儲存密碼的方式,是用雜湊函數(如 MD5、SHA1) 計算出的雜湊值,來取代儲存密碼明文在資料庫裡。使用時(如使用者登入)只比對雜湊值而不直接取用密碼原文,可以避免被有心人士取得密碼表後直接拿去利用。
  • 但是,若只是直接單純使用 MD5 算出來的值,有可能利用 Rainbow Tables (預先運算的值所建立資料表)快速推算出原值(或 collision)。
  • 對欲計算雜湊值的字串“加料”,是一個對程式變動較少的解決方法。類似的方法不少,但簡單來說就是用兩個步驟以上處理密碼。
  • Blog.XDite.net » 淺談 BBS 資料的安全性
  • 石頭閒語:在 C 程式中使用 MD5 library 及其應用 - 樂多日誌
  • Rainbow Hash Table 與密碼破解 | 資安之眼
  • 對於一般的使用者:
  • 可以的話,使用最少 8 字元以上的密碼。
  • 可以的話,在密碼中加入特殊字元,即除了英文字母與數字[^A-Za-z0-9]以外的的字元(如!@#$%^&*)。
  • 避免使用單字、常見詞彙或其組合,來做為密碼。
  • 在不同的地方(網站或應用程式等)使用不同的帳號、密碼。

No comments:

Post a Comment

Comment Form Message

標籤分類

Blog Archive

Labels

Google Analytics Tracking Code

About Me

My photo
Keelung, R.O.C, Taiwan
一個不學無術、混吃等死的傢伙…