以明文形式存储密码?
Stored passwords in plaintext?
我正在测试一些项目,网站上有一个服务可以让你输入你的 id 并获取你的密码,这是否意味着后端以明文形式存储密码而不是加密?
不一定 - 后端可能会存储加密的密码,并在检索到密码时使用一些预先确定的密钥对其进行解密。
但是,从安全的角度来看,这仍然是一个非常薄弱的解决方案。一种正确的方法是仅存储 encrypted/hashed(和加盐!)密码并能够检查给定输入是否匹配它,而无法检索 clear-text 密码。
我正在测试一些项目,网站上有一个服务可以让你输入你的 id 并获取你的密码,这是否意味着后端以明文形式存储密码而不是加密?
不一定 - 后端可能会存储加密的密码,并在检索到密码时使用一些预先确定的密钥对其进行解密。
但是,从安全的角度来看,这仍然是一个非常薄弱的解决方案。一种正确的方法是仅存储 encrypted/hashed(和加盐!)密码并能够检查给定输入是否匹配它,而无法检索 clear-text 密码。