Loading...

随便谈谈:合理设置网站的登录密码

2009-03-03 15:06:30 发表于PHP, 网站技术 本文链接: 随便谈谈:合理设置网站的登录密码

n年前,也就是大学期间,cosbeta接了几个php程序的开发,客户居然有奇怪的要求,说用户的密码要能在后台查看,以方便给用户找回密码。后来,在cosbeta的苦口婆心的劝说下,客户终于同意了cosbeta的方案:将密码加密保存在数据库中,访客不可以取回密码,只能重设密码。这样的好处有三:1.保密用户资料,即使黑客攻破MySql,也无法查看用户的密码,因为密码已经加密过;2.保护用户隐私,即便是是数据库管理员也无法查看用户的密码,从而去猜测用户其他地方可能会使用的密码;3.让用户更加信任你的站点。

为此,cosbeta在这个blog刚建立的时候还发表了一篇日志,建议大家妥善分类管理自己的密码。然而在我们的身边,密码不分等级的人比比皆是,比如有人的OA密码就设置得非常复杂,我在想,要是哪一天公司的IT部门相关人员邪恶一下,将你的密码记录下来,然后因此去推测你的银行卡密码,岂不是很危险。

不过各位放心,cosbeta在保存用户密码时,一律采用了md5(username+password)的方式将密码进行了加密,然后才保存,所以在cosbeta开发的应用中,你是无法找回密码的,只能重设。当然,即使我在这里信誓旦旦的承诺,你依然也要考虑分等级来管理你的密码,永远不要在不信任的站点使用你最重要的密码。

该日志未加标签
发表于 2009-03-03 15:06:30 目录:PHP, 网站技术 [RSS 2.0] 你可以发表评论, 或者从您的网站 trackback
  • 相关阅读
  • homezz 美国专业主机商
    feed url
    上一篇: « hostgator虚拟主机
    下一篇: 可恶的住房公积金 »
    已经有8位大师动手指导 拒绝低俗
    • 1楼 youKnowMe 在2009.03.03 16:07发表评论如下: 回复

      • 2楼 孤客 在2009.03.03 16:41发表评论如下: 回复

        有什么方法可以知道你注册的网站是否对你的密码进行了加密?

        • 2楼附属品 江东 在2009.03.03 16:45发表评论如下: 回复

          无法知道,一般来说,能找回密码的肯定没有加密,不能找回密码的就无法确定了,现在多数都是加密保存的, 5 6年前多数是没有加密保存的

        • 3楼 Leeiio 在2009.03.03 18:00发表评论如下: 回复

          一般人的密码都是一样的,如果一个站点保存了明文密码就有可能都能登陆其他你注册过的网站了,真可怕~

          • 4楼 任平生 在2009.03.03 20:42发表评论如下: 回复

            永远不要在不信任的站点使用你最重要的密码
            这话说的太对了!

            • 5楼 猪头人脑 在2009.03.03 22:29发表评论如下: 回复

              除了几个重要需要经常访问的网站外,其他一般都是16位随机密码变体,变体是指即使密码文档被人获取并且解密出来,还不一定就能知道真实的密码。

              • 6楼 安全的密码 在2009.11.04 00:16发表评论如下: 回复

                […] 江东:合理设置网站的密码 […]

                • 7楼 安全的密码 - 李华 - Yes we can 在2010.05.08 22:57发表评论如下: 回复

                  […] 江东:合理设置网站的密码 […]

                  评论分页: 1
                  (Required)
                  (Required, not published)
                  如果留言未显示无需重复留言,我将为你恢复!