存密码

在使用某平台的时候，使用修改密码功能，赫然发现我的当前密码被明文的显示在页面上，很友好的提醒我：你现在密码是什么，而且不需要我输入当前密码，直接输入新密码。

Untitled.png

我们把问题想深一些，对于那些【是不是需要提示】，【更应该让用户自己输入】这类关于交互的讨论我们暂时略过。

这个功能其实从本质上反映了一个问题：这个平台秘钥安全性其实就是一层纸。

此平台的密码竟然可以通过密钥解密出来

Paste_Image.png

他们技术是如上回复我的。

几个原则

• 网站被攻破后拿到的密码无法一眼看出来密码；
• 网站被攻破后拿到的密码无法简单解密出来；
• 网站被攻破后拿到的密码无法简单暴力破解出来；
• 网站密码不能被网站的内部人员得知并获取；

他们这样做让我一身冷汗，如果我是他们公司中有生产权限的人，或者管理员权限的人，我轻轻松松就能拿到所有客户的密码。简直就是神一般的存在。

简单而言，存储bcrypt, scrypt等算法输出的内容，不要用salted hash的方式存储密码，不要用加密的方式存储密码，当然，更不要明文存储。

参考文章：
https://www.zhihu.com/question/20479856
http://blog.jianguoyun.com/?p=438
http://marc-stevens.nl/research/md5-1block-collision/
https://en.wikipedia.org/wiki/Rainbow_table