正确安全地存储密码的挑战

恢复对在线帐户的访问权限的过程可能非常麻烦。有时，您需要与支持代理联系，支持代理会在您最终为您提供链接之前向您询问各种问题，并为您的帐户创建新密码。

但是，对于某些服务（不是太多），恢复密码很简单。您单击忘记密码按钮，计算机或个人会向您发送一封电子邮件，其中包含您忘记的密码。对于像这样工作的系统来说，你可能会感到很满意。确实很方便。但是，您可能没有意识到，所述系统正以极不安全的方式处理您的密码。

首先，电子邮件不是最安全的通信形式。也有例外，但大多数主流电子邮件提供商不会对邮件中的信息进行加密，这意味着它可能在传输过程中被盗。这不是唯一的问题。

密码以纯文本形式发送给您的事实意味着它也可能以纯文本形式存储。这意味着，如果黑客得到它，那将没有什么可以阻止他们接管你的帐户。您的密码也可能以加密形式存储，但这也不是一个好习惯。如果它是加密的，则可以使用可能暴露的密钥对其进行解密。而且你永远不知道一个心怀不满的员工什么时候会决定你是他们不快乐的原因。

因此，服务提供商不应以明文形式存储您的密码，也不应加密它们。那么，保持它们安全的正确方法是什么呢？

负责任的服务提供商如何存储您的密码？

网站所有者应该使用的数学运算称为哈希。哈希函数将您的密码转换为不可读的字符串（称为哈希值，或简称为哈希），与实际密码没有视觉上的相似之处。例如，如果您使用SHA1散列算法（它是一种非常安全的旧算法，但我们将其用于说明目的），则“密码”的散列值为“5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8”。然后将哈希值存储在数据库中，并与您在登录时输入的密码的哈希值进行比较。

加密也会将您的密码变成难以辨认的字符串，但是，如果存在解密密钥，加密的密码可以很容易地转回到纯文本中。 Hashing应该是单向操作，这意味着如果哈希算法足够好，即使在强大的硬件上运行的自动化工具也需要花费大量时间来破解哈希并检索密码。因此，不满意的员工和黑客都无法看到您的密码。

问题是，相同的密码在同一算法下产生相同的散列，并且因为有很多人使用“123456”来保护他们的帐户，所以可以根据散列猜测密码。这就是服务提供商也应该为您的密码加盐的原因。有效节省意味着他们在对密码进行散列之前将一串字符（例如“QxLUF1bgIAdeQX”）添加到密码的末尾. 每个用户都应该获得他们自己独特的盐，这意味着即使你的密码与你的邻居的密码相同，哈希也会完全不同。这并不意味着使用普通或简单的密码是好的，但正确的散列和腌制确实使黑客的工作更加困难。

当然，除此之外还有更多内容，但您刚刚阅读的内容有希望让您基本了解网站所有者和服务提供商在设置身份验证系统时应采取的步骤。可悲的是，在线帐户日复一日受到损害这一事实意味着并非所有人都坚持这些基本的安全原则。不幸的是，你无能为力。

一旦您将密码提供给网站，您就会信任其背后的人，以确保您的数据安全。你无法控制下一步会发生什么。但是，您可以控制的是如何存储自己的密码。