【活动j结束 获奖名单公布】从近期互联网企业密码泄露探讨如何构建一个安全的系统

yanyangtian4502

这就不清楚了！
很多公司关注商业计划，因为他们关注在如何运营上面，东西出来就OK！甚至很多IT公司的介绍站点都是外包的！
回复 40# realmon


   

xylophone21

我并不认为sina，csdn这些网站的技术人员里，连一个知道至少要用hash保存密码的人都没有。
也不认为他们中的哪怕一个初级程序员会认为把密码hash一下会很难实现。

但是他们为什么没有做呢？是不是有国际反华势力逼迫他们必须明文存密码呢？解决了这个问题就能构建一个相对安全的系统。

xylophone21

不小心重复了，删掉。

wfcjz

汪洋

封疆大吏还写书！而且是IT技术方面的书！

bbjmmj

LINUX上保存的数据完全有办法做到人类科技无法破解，加密比做网站容易得多吧？
我最奇怪的是密码为什么要明文保存？还有什么要求明文保存？

yanyangtian4502

封疆大吏?这是从何说起啊！？回复 44# wfcjz


   

wfcjz

开个玩笑，汪洋现在在中国政坛很火呀！不过不是一个人！

yanyangtian4502

呵呵，你是说的广东省委书记把？！呵呵回复 47# wfcjz


   

broadway2008

个人感觉hash叫取样算法更合适，因为取样时有损失的，是不可逆的，加密算法怎么也得有个解密算法才合适这样称呼吧！
哈希就是一种散列函数，只是一个单项函数而已，并不是什么加密算法，首先加密的话，那其密钥是什么呢？hash中文就叫散列，散列算法从来就不是加密算法，只不过是被用于hash密码比对所以误传的，充其量也只能成为加密算法中的一个构成部分罢了。

国内现在的论坛网站几乎都有对密码加密，而且有很多采用的是md5方法。到今天在很多人眼里md5加密方法还是很安全的，因为它不能解密，这是确实的，但是hash方法比md5方法更加具有安全性。

传统的md5方法就是几个函数的组合，最终调用这句话就实现加密了：md5(encodestr)，其中的encodestr与md5(encodestr)是一一对应的，也就是说一个encodestr对应一个md5(encodestr)。而hash方法却不是一一对应的关系，而是一对多的关系。之所以是一对多的关系，就是因为加密方法与md5不同。

简单的说，单从md5函数和hashencode函数来说，除了加密算法不一样，其他都是一样的，都是单向加密，不能解密。但是hash方法并不是像md5方法那样直接加密字符串，而是先对字符串进行一些处理，然后再加密。这个先做的处理就是根据要加密字符串的长度生成一个随机salt值，然后用这个salt值与要加密的字符串一同进行加密，并且把salt值与一同加密后的值都存入数据库中；在验证上，md5方法是将用户提交的字符先进行md5加密，然后与数据库中加密后的字符相比，如果相同则通过验证，否则不通过验证。而hash方法则是先从数据库中读取salt值，然后用salt值与用户提交的字符相结合进行hash加密，再与数据库中的加密后字符比较，相同则通过，否则不通过。

其实如果我们说md5是一次加密里最具有安全性的，那么我们可以说hash方法是对一次加密的又一次加密，也就是说是二次加密，因此从理论上来说比md5方法更加安全。当然这也不是绝对的，道高一尺魔高一丈，这次网络用户账号大规模泄密事件说明了网站后台还需要不断从技术上提升加密算法的安全性，我想这方面淘宝之类的电子商务网站和网银系统就做得比较好，呵呵，一家之言吧。

yanyangtian4502

在前面的一些帖子中,我们一起聊了一些有关散列的问题,也说明了散列很适合用来验证数据的完整性,因为散列都是单向的.如果我要对确保数据的安全和有效，那么，加密也是一个很重要的手段。

在加密的时候，常常需要一个key，我们可以把这个key、看成是算法需要的一些引子，这个key决定了加密算法的输出。即，不同的key，采用相同的算法，加密相同的数据，但是加密后的结果是不一样的。

很多时候，我都需要将key私密保存。
下面我们就具体的谈谈两种常见的加密方式：对称加密，非对称加密