最近看到網上有很多知名企業網站都爆出密碼泄露的問題,然后我們現在做一些關於注冊和登錄還有其他方方面面涉及數據庫資料的內容。
如果我們一般做注冊頁面,將用戶注冊的密碼存進數據庫,一般建議不要單純的將密碼存進去,因為這樣安全性絕對是最低的,如果不想讓別人簡簡單單就拿到我們密碼的話,那就得在密碼上面做點小功夫,例如我們最常見的就是MD5的加密,因為MD5是不可逆的,這時候可能會有很多人說,我們上網有很多MD5解密的網站,把密碼扔進去不就好了嗎?
雖然網站上面MD5解密的解密查詢數據的記錄驚人,但是如果我們在MD5原基礎上再加密一次或者多次,那就算有入侵者來盜取,也未必能一時之間把用戶的密碼給識破;然后如果我們在MD5的加密基礎上再把MD5加密出來的32位,抽取出前幾位或者后幾位的數來拼接后密碼的任意位置上面,那樣的話,我相信密碼的安全性就會大大的提高了幾個層次。而且,做類似注冊頁面或者其他諸如此類頁面的時候,利用正則來驗證,可以有效的控制,用戶填寫的密碼不要過於簡單,例如不能純數字,不能有特殊符號等等,或者要求要數字和英文字混合組成,而且大家要記住自己的加密方法。
經過園友的提醒后多加一些方法,例如用salt隨機鹽的方法加密,還有增加個登錄失敗次數限制,還有等多的哈希加密方法等等,還有必須要深入了解Cookie~~
以上只是一些小方法,當然如果有大神有更多的好方法能提高密碼的安全性,希望可以分享交流!