我一直认为,将密码以纯文本形式存储在数据库中(正如这里其他人所说的那样)是一件非常糟糕的事情™。
从历史上看,我们的大部分服务器端编码需求都外包给了一组程序员。它们以纯文本形式将密码存储在 MySQL 数据库中。
作为常驻代码猴子(顺便说一句,这是第一只在这里工作的精通服务器端的猴子,所以可以这么说,我正在继承地球),我有一种胃里的感觉,我的屁股将上线当这种纯文本废话被利用时。
我试图向我的老板解释纯文本密码是多么糟糕,但我突然意识到:我认为我从来没有真正知道它们为什么如此糟糕。除了向黑客提供一份轻松的密码列表之外,还有什么其他的方法吗?这对我来说听起来已经够糟糕的了,但在我们的网站是“安全”的、不受任何黑客影响的啦啦土地上,这个论点似乎并不能解决问题。我怎样才能说服(或吓唬)我的老板要求在他珍贵的网站上进行哈希处理?
有关的:加密/散列明文
文本密码在
数据库
在军事上,这被称为“纵深防御”。其理论是,您可以强化每一层,而不是只强化一层并希望它足够。
我听说像你这样的数据库被称为“外表坚硬,内部柔软耐嚼”。专门的黑客可以通过一百万种方式访问您的数据库。社会工程、心怀不满的员工、决定查看自己的登录是否仍然有效的前员工、或者他编写的后门是否仍然存在、错过了一个操作系统补丁……这样的例子不胜枚举。
如果坏人通过任何这些方法获得访问权限,他不仅可以获取数据,还可以访问系统中每个用户的每个用户名/密码组合,正如有人指出的那样,人们经常对每个网站使用相同的组合。因此,您的黑客出去并拥有数百人的 Paypal、电子邮件和银行帐户。
我画的图画还不够可怕吗?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
