解决方法
guidance是没有人 – 甚至用户自己 – 应该能够看到密码,并且它们不应该以允许检索它们的方式存储在数据库中.这是因为有很多方法可以丢失这些数据 – 管理员可以打印出一份报告,并将其留在桌面上;攻击者可能能够使用sql注入来运行数据库查询;有人可能会闯入你的建筑物并窃取备份磁带.
许多客户在多个站点上使用相同的密码 – 因此,如果您的站点是最薄弱的链接,如果他们重新使用了密码,您可能会将其暴露给其他站点上的风险.
建议使用称为“散列”的加密技术,它采用明文密码并将其转换为无意义的字符串;没有办法扭转哈希,这意味着即使我偷了哈希密码,我也无法弄清楚原始的纯文本是什么.
