n年前,也就是大学期间,cosbeta接了几个php程序的开发,客户居然有奇怪的要求,说用户的密码要能在后台查看,以方便给用户找回密码。后来,在cosbeta的苦口婆心的劝说下,客户终于同意了cosbeta的方案:将密码加密保存在数据库中,访客不可以取回密码,只能重设密码。这样的好处有三:1.保密用户资料,即使黑客攻破MySql,也无法查看用户的密码,因为密码已经加密过;2.保护用户隐私,即便是是数据库管理员也无法查看用户的密码,从而去猜测用户其他地方可能会使用的密码;3.让用户更加信任你的站点。
为此,cosbeta在这个blog刚建立的时候还发表了一篇日志,建议大家妥善分类管理自己的密码。然而在我们的身边,密码不分等级的人比比皆是,比如有人的OA密码就设置得非常复杂,我在想,要是哪一天公司的IT部门相关人员邪恶一下,将你的密码记录下来,然后因此去推测你的银行卡密码,岂不是很危险。
不过各位放心,cosbeta在保存用户密码时,一律采用了md5(username+password)的方式将密码进行了加密,然后才保存,所以在cosbeta开发的应用中,你是无法找回密码的,只能重设。当然,即使我在这里信誓旦旦的承诺,你依然也要考虑分等级来管理你的密码,永远不要在不信任的站点使用你最重要的密码。
该日志未加标签
嗯