为什么密码要以MD5值存储在数据库

1,为什么数据库中保存的是密码的MD5值,而不是明文?

首先我们确认的一点是:MD5肯定比明文要安全一些(当然肯定不是最安全的)

如果数据库存储的是明文,如果数据库被黑了,那么明文密码泄露之后,普通用户都可以很容易登录.

但是如果存储的是MD5值,就算泄露了,普通用户也没法登录.因为页面上登录时要求输入明文.

当然程序员可以直接调用登录接口,传递密码MD5值也可以登录.

 

另外一点:明文包含更多的信息(相对于其MD5值),比如明文可能是银行密码,或者包含出生日期等,这些都是敏感信息.

使用MD5之后,这些敏感信息就会被抹掉.即信息量减少

 

如果使用明文存储,那么登录时,网络传输的是密码明文.

 

2,遇到的问题

若数据库存储的是密码MD5值,那么密码强度就不方便计算.

因为密码强度是根据密码明文来计算的,而不是密码的MD5值,但是数据库中存储的是密码的MD5值.

根据MD5值是没法计算密码强度的,因为MD5值不可逆,即根据MD5值没法得到明文.

所以此时密码强度应该在前端校验

 

原则:

(1)在网络传输中,不能传输密码明文;

(2)密码明文不能落地,即密码明文不能存储在任何地方,包括数据库,浏览器cookie

(3)就算数据库被黑,黑客也没法计算出明文

 

参考:http://hw1287789687.iteye.com/blog/2248374

上一篇:pb程序在64位操作系统上使用Instant Client 连接oracle数据库


下一篇:在ACK 集群中使用本地盘创建LVM数据卷