※ 引述《qqq3892005 (神野詩祈オルタ)》之銘言:
: 最原始的帳密
: 就明碼
: 大家都看得到內容
: 再來是加密
: 可是如果知道加密金鑰
: 那就跟明碼一樣
: 再再來是用Hash值
: 這個可能你載片時會看到上傳者放Hash值跟你比對檔案完整性
: Hash算法可以把任意量的資訊轉成固定長度的Hash值
: 而且原始內容改一下Hash值就會變很多
: 沒辦法從Hash值反推回原始資訊
: 系統就可以設計成
: 你打密碼的時候
: 它把你打的密碼轉換成Hash值再儲存/傳送
: 系統自己也不知道你的密碼
: 只是你打的密碼的Hash值跟它存的Hash值一樣
: 所以判斷你打的密碼一樣
: 這樣Hash值就算外洩
: 偷的人不知道密碼也沒用
: 如果他直接輸入Hash值 系統也只會對那個Hash值進行Hash運算產生新的、不同的Hash值
: 就跟裡面存的不一樣 驗證失敗
: 不過因為人會打的密碼也就英文數字符號組合
: 所以雖然從Hash沒辦法反推密碼
: 可是他可以從001、002......001a...這樣每個排列組合都算一次Hash
: 然後直接看哪個跟他偷到的Hash一樣 就知道密碼了
: 而且也不用當場算
: 一般都是用通用的Hash演算法
: 它可以事先就準備好大字典
: 所以又多了加鹽這個做法
: 就是 在算Hash之前,在你的密碼裡插一點內容
: 比如說你密碼是123
: 系統在你打完123之後,先把它改成a123
: 然後才計算Hash
: 可是偷的人不會知道系統有做這個改的動作
: 它偷到Hash
: 查完字典
: 發現這Hash是a123轉出來的
: 就在密碼欄打a123
: 結果系統就把它轉成aa123
: Hash比對失敗
: 不通過
: 更強化一點還可以讓每個帳號加鹽內容不一樣
: 這樣就算想自己創小號找規律都找不到
: 大概是這樣
不過
如果密碼資料庫都外洩了
鹽八成也會一起洩出去了吧
這樣駭客一樣暴力揣然後加上鹽再雜湊
跟沒加鹽會有差ㄇ
還是說醍醐味就是了不要把鹽洩漏出去