标签: php passwords
我正在测试一些项目,并且网站上有一项服务可以让您输入ID并获取密码,这是否意味着后端将密码以纯文本格式存储而不进行加密?
答案 0 :(得分:2)
不一定-后端可以存储加密的密码,并在检索密码时使用某些预定的密钥对其进行解密。
但是,从安全角度来看,这仍然是一个很弱的解决方案。正确的方法是只存储加密/散列(加盐!)密码,并能够检查给定的输入是否与之匹配,而无法检索明文密码。