那么网站如何长期保存密码? 我的意思是非常重要的网站,例如政府或大型电子商务或社交网站。
当然,他们在用于身份验证的网络服务器连接数据存储中存储密码的哈希(或盐渍哈希),但是它是吗?
注意:我不是在询问散列或腌制,我问的是存储元数据的位置(例如散列或盐渍散列),以便它始终可用?
事实上,像Facebook这样的网站如何存储密码?我猜他们会有多个散列在世界各地的散列?偶尔备份到磁带上?
答案 0 :(得分:1)
对于大多数应用程序,您只需要用户密码的哈希值。通常,出于安全原因,不会存储实际密码。如果数据存储受到威胁,您就不希望黑客能够获得用户的实际密码。
实际上,这通常是为什么哈希首先被腌制的原因。 Salting使得使用彩虹表(通过某种类型的哈希的密码的所有可能组合的预先计算表)更难以重新获得用户可能在其他站点上使用的原始密码。这里有更深入的回答:Best way to store password in database
答案 1 :(得分:0)
这个问题太宽泛了,无法回答。它不仅与政府网页相关;如果存储了明文密码,那将是一个真正的安全问题。根据安全需要,大多数情况下都使用密码哈希。如果用户需要证书(例如存储在卡上或使用其他进程获得),则可能存在服务器上存储的用户公钥(而不是哈希)。
您的问题也会询问完全不同的主题。当然,Web后端数据库也需要备份(不仅仅是密码),还有一些负载平衡技术也可以考虑地理定位主题等。