正確安全地存儲密碼的挑戰

恢復對在線帳戶的訪問權限的過程可能非常麻煩。有時，您需要與支持代理聯繫，支持代理會在您最終為您提供鏈接之前向您詢問各種問題，並為您的帳戶創建新密碼。

但是，對於某些服務（不是太多），恢復密碼很簡單。您單擊忘記密碼按鈕，計算機或個人會向您發送一封電子郵件，其中包含您忘記的密碼。對於像這樣工作的系統來說，你可能會感到很滿意。確實很方便。但是，您可能沒有意識到，所述系統正以極不安全的方式處理您的密碼。

首先，電子郵件不是最安全的通信形式。也有例外，但大多數主流電子郵件提供商不會對郵件中的信息進行加密，這意味著它可能在傳輸過程中被盜。這不是唯一的問題。

密碼以純文本形式發送給您的事實意味著它也可能以純文本形式存儲。這意味著，如果黑客得到它，那將沒有什麼可以阻止他們接管你的帳戶。您的密碼也可能以加密形式存儲，但這也不是一個好習慣。如果它是加密的，則可以使用可能暴露的密鑰對其進行解密。而且你永遠不知道一個心懷不滿的員工什麼時候會決定你是他們不快樂的原因。

因此，服務提供商不應以明文形式存儲您的密碼，也不應加密它們。那麼，保持它們安全的正確方法是什麼呢？

負責任的服務提供商如何存儲您的密碼？

網站所有者應該使用的數學運算稱為哈希。哈希函數將您的密碼轉換為不可讀的字符串（稱為哈希值，或簡稱為哈希），與實際密碼沒有視覺上的相似之處。例如，如果您使用SHA1散列算法（它是一種非常安全的舊算法，但我們將其用於說明目的），則“密碼”的散列值為“5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8”。然後將哈希值存儲在數據庫中，並與您在登錄時輸入的密碼的哈希值進行比較。

加密也會將您的密碼變成難以辨認的字符串，但是，如果存在解密密鑰，加密的密碼可以很容易地轉回到純文本中。 Hashing應該是單向操作，這意味著如果哈希算法足夠好，即使在強大的硬件上運行的自動化工具也需要花費大量時間來破解哈希並檢索密碼。因此，不滿意的員工和黑客都無法看到您的密碼。

問題是，相同的密碼在同一算法下產生相同的散列，並且因為有很多人使用“123456”來保護他們的帳戶，所以可以根據散列猜測密碼。這就是服務提供商也應該為您的密碼加鹽的原因。有效節省意味著他們在對密碼進行散列之前將一串字符（例如“QxLUF1bgIAdeQX”）添加到密碼的末尾. 每個用戶都應該獲得他們自己獨特的鹽，這意味著即使你的密碼與你的鄰居的密碼相同，哈希也會完全不同。這並不意味著使用普通或簡單的密碼是好的，但正確的散列和醃製確實使黑客的工作更加困難。

當然，除此之外還有更多內容，但您剛剛閱讀的內容有希望讓您基本了解網站所有者和服務提供商在設置身份驗證系統時應採取的步驟。可悲的是，在線帳戶日復一日受到損害這一事實意味著並非所有人都堅持這些基本的安全原則。不幸的是，你無能為力。

一旦您將密碼提供給網站，您就會信任其背後的人，以確保您的數據安全。你無法控制下一步會發生什麼。但是，您可以控制的是如何存儲自己的密碼。