引用:
|
作者signally
我之前架構的系統一定都使用雜湊函數加密,單向不可逆。
對於使用者密碼我一定堅持無法回復提供,跟d61s兄一樣避免後續沒完沒了的事情。
怕麻煩就做一個重設密碼的機制把密碼寄到公司信箱去。
當初你帳號裡沒設定認證信箱,那就請你寫申請單並請主管簽核
資訊人員的原罪之一就是知道的太多了∼
|
很多人都只想便宜行事,正常來說,密碼的明碼只有使用者一個人能知道,存在伺服器那端也應該是加密過,無法復原的。
所以一般雲端或電子郵件服務,都沒辦法提供你密碼,忘了只能叫你重設。
大學時,曾在英語系打工,有一位教授忘了密碼。他們系統是 Linux, 我追查了一下發現,密碼被加密,從加密後的長度,我猜是 MD5. 於是我去找一個暴力破解MD5的工具,跑幾個小時就解出來了,原因是老師密碼只用5個字。
其實很多程式語言都已經有內建雜湊運算函式,像 .Net, PHP, JAVA... 就算像 c 語言這種沒有的,網路上也可以找到人家寫好的函式。使用雜湊運算加密根本只是舉手之勞。只能說很多網管程度真的都不及格,要回學校重學。
