免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: yanyangtian4502

【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统 [复制链接]

论坛徽章:
0
发表于 2012-01-06 09:57 |显示全部楼层
这就不清楚了!
很多公司关注商业计划,因为他们关注在如何运营上面,东西出来就OK!甚至很多IT公司的介绍站点都是外包的!
回复 40# realmon


   

论坛徽章:
0
发表于 2012-01-06 13:02 |显示全部楼层
我并不认为sina,csdn这些网站的技术人员里,连一个知道至少要用hash保存密码的人都没有。
也不认为他们中的哪怕一个初级程序员会认为把密码hash一下会很难实现。

但是他们为什么没有做呢?是不是有国际反华势力逼迫他们必须明文存密码呢?解决了这个问题就能构建一个相对安全的系统。

论坛徽章:
0
发表于 2012-01-06 13:03 |显示全部楼层
本帖最后由 xylophone21 于 2012-01-06 13:06 编辑

不小心重复了,删掉。

论坛徽章:
30
ChinaUnix元老
日期:2018-07-04 15:10:36CU大牛徽章
日期:2013-04-17 10:59:39荣誉版主
日期:2015-02-04 10:04:082015年亚洲杯之阿联酋
日期:2015-02-06 17:15:532015亚冠之武里南联
日期:2015-06-06 15:40:252015亚冠之北京国安
日期:2015-06-17 15:42:412022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:322015亚冠之阿尔纳斯尔
日期:2015-09-20 09:42:1215-16赛季CBA联赛之北京
日期:2016-01-15 10:03:5915-16赛季CBA联赛之青岛
日期:2016-04-26 16:44:4915-16赛季CBA联赛之广夏
日期:2018-07-04 15:33:21C
日期:2016-10-25 16:12:14
发表于 2012-01-07 14:05 |显示全部楼层
汪洋

封疆大吏还写书!而且是IT技术方面的书!

论坛徽章:
9
技术图书徽章
日期:2014-10-14 15:48:13数据库技术版块每日发帖之星
日期:2015-06-04 22:20:00数据库技术版块每日发帖之星
日期:2015-06-10 22:20:00数据库技术版块每日发帖之星
日期:2015-06-11 22:20:00数据库技术版块每日发帖之星
日期:2015-06-13 22:20:00IT运维版块每日发帖之星
日期:2015-09-22 06:20:00IT运维版块每日发帖之星
日期:2015-12-08 06:20:00综合交流区版块每日发帖之星
日期:2016-02-02 06:20:00IT运维版块每日发帖之星
日期:2016-07-25 06:20:00
发表于 2012-01-08 10:46 |显示全部楼层
LINUX上保存的数据完全有办法做到人类科技无法破解,加密比做网站容易得多吧?
我最奇怪的是密码为什么要明文保存?还有什么要求明文保存?

论坛徽章:
0
发表于 2012-01-08 11:36 |显示全部楼层
封疆大吏?这是从何说起啊!?回复 44# wfcjz


   

论坛徽章:
30
ChinaUnix元老
日期:2018-07-04 15:10:36CU大牛徽章
日期:2013-04-17 10:59:39荣誉版主
日期:2015-02-04 10:04:082015年亚洲杯之阿联酋
日期:2015-02-06 17:15:532015亚冠之武里南联
日期:2015-06-06 15:40:252015亚冠之北京国安
日期:2015-06-17 15:42:412022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:322015亚冠之阿尔纳斯尔
日期:2015-09-20 09:42:1215-16赛季CBA联赛之北京
日期:2016-01-15 10:03:5915-16赛季CBA联赛之青岛
日期:2016-04-26 16:44:4915-16赛季CBA联赛之广夏
日期:2018-07-04 15:33:21C
日期:2016-10-25 16:12:14
发表于 2012-01-08 13:41 |显示全部楼层
开个玩笑,汪洋现在在中国政坛很火呀!不过不是一个人!

论坛徽章:
0
发表于 2012-01-08 17:39 |显示全部楼层
呵呵,你是说的广东省委书记把?!呵呵回复 47# wfcjz


   

论坛徽章:
0
发表于 2012-01-08 22:09 |显示全部楼层
个人感觉hash叫取样算法更合适,因为取样时有损失的,是不可逆的,加密算法怎么也得有个解密算法才合适这样称呼吧!
哈希就是一种散列函数,只是一个单项函数而已,并不是什么加密算法,首先加密的话,那其密钥是什么呢?hash中文就叫散列,散列算法从来就不是加密算法,只不过是被用于hash密码比对所以误传的,充其量也只能成为加密算法中的一个构成部分罢了。

国内现在的论坛网站几乎都有对密码加密,而且有很多采用的是md5方法。到今天在很多人眼里md5加密方法还是很安全的,因为它不能解密,这是确实的,但是hash方法比md5方法更加具有安全性。

传统的md5方法就是几个函数的组合,最终调用这句话就实现加密了:md5(encodestr),其中的encodestr与md5(encodestr)是一一对应的,也就是说一个encodestr对应一个md5(encodestr)。而hash方法却不是一一对应的关系,而是一对多的关系。之所以是一对多的关系,就是因为加密方法与md5不同。

简单的说,单从md5函数和hashencode函数来说,除了加密算法不一样,其他都是一样的,都是单向加密,不能解密。但是hash方法并不是像md5方法那样直接加密字符串,而是先对字符串进行一些处理,然后再加密。这个先做的处理就是根据要加密字符串的长度生成一个随机salt值,然后用这个salt值与要加密的字符串一同进行加密,并且把salt值与一同加密后的值都存入数据库中;在验证上,md5方法是将用户提交的字符先进行md5加密,然后与数据库中加密后的字符相比,如果相同则通过验证,否则不通过验证。而hash方法则是先从数据库中读取salt值,然后用salt值与用户提交的字符相结合进行hash加密,再与数据库中的加密后字符比较,相同则通过,否则不通过。

其实如果我们说md5是一次加密里最具有安全性的,那么我们可以说hash方法是对一次加密的又一次加密,也就是说是二次加密,因此从理论上来说比md5方法更加安全。当然这也不是绝对的,道高一尺魔高一丈,这次网络用户账号大规模泄密事件说明了网站后台还需要不断从技术上提升加密算法的安全性,我想这方面淘宝之类的电子商务网站和网银系统就做得比较好,呵呵,一家之言吧。

论坛徽章:
0
发表于 2012-01-09 08:42 |显示全部楼层
在前面的一些帖子中,我们一起聊了一些有关散列的问题,也说明了散列很适合用来验证数据的完整性,因为散列都是单向的.如果我要对确保数据的安全和有效,那么,加密也是一个很重要的手段。

在加密的时候,常常需要一个key,我们可以把这个key、看成是算法需要的一些引子,这个key决定了加密算法的输出。即,不同的key,采用相同的算法,加密相同的数据,但是加密后的结果是不一样的。

很多时候,我都需要将key私密保存。
下面我们就具体的谈谈两种常见的加密方式:对称加密,非对称加密
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

DTCC2020中国数据库技术大会

【架构革新 高效可控】2020年12月21日-23日第十一届中国数据库技术大会将在北京隆重召开。

大会设置2大主会场,20+技术专场,将邀请超百位行业专家,重点围绕数据架构、AI与大数据、传统企业数据库实践和国产开源数据库等内容展开分享和探讨,为广大数据领域从业人士提供一场年度盛会和交流平台。

http://dtcc.it168.com


大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP