1,为什么数据库中保存的是密码的MD5值,而不是明文?
首先我们确认的一点是:MD5肯定比明文要安全一些(当然肯定不是最安全的)
如果数据库存储的是明文,如果数据库被黑了,那么明文密码泄露之后,普通用户都可以很容易登录.
但是如果存储的是MD5值,就算泄露了,普通用户也没法登录.因为页面上登录时要求输入明文.
当然程序员可以直接调用登录接口,传递密码MD5值也可以登录.
另外一点:明文包含更多的信息(相对于其MD5值),比如明文可能是银行密码,或者包含出生日期等,这些都是敏感信息.
使用MD5之后,这些敏感信息就会被抹掉.即信息量减少
如果使用明文存储,那么登录时,网络传输的是密码明文.
2,遇到的问题
若数据库存储的是密码MD5值,那么密码强度就不方便计算.
因为密码强度是根据密码明文来计算的,而不是密码的MD5值,但是数据库中存储的是密码的MD5值.
根据MD5值是没法计算密码强度的,因为MD5值不可逆,即根据MD5值没法得到明文.
所以此时密码强度应该在前端校验
原则:
(1)在网络传输中,不能传输密码明文;
(2)密码明文不能落地,即密码明文不能存储在任何地方,包括数据库,浏览器cookie
(3)就算数据库被黑,黑客也没法计算出明文
参考:http://hw1287789687.iteye.com/blog/2248374
本文出自 “whuang” 博客,请务必保留此出处http://huangkunlun520.blog.51cto.com/2562772/1702436
原文地址:http://huangkunlun520.blog.51cto.com/2562772/1702436
