① 明文密碼是什麼意思
明文密碼,即傳輸或保存為明文的密碼。具體是指保存密碼或網路傳送密碼的時候,用的是沒有隱藏、直接顯示的明文字元,而不是經過加密後的密文。與之相對的是密文密碼。
明文密碼就是直接可以看懂的,如密碼為123,那麼密文密碼是三個其他字元,明文密碼則是123。從信息安全的角度出發,任何網路服務都不應該保存或發送明文密碼。
② 什麼是明文密鑰
(一)明文密碼的定義
明文密碼(Cleartext Password),即傳輸或保存為明文的密碼。具體是指保存密碼或網路傳送密碼的時候,用的是沒有隱藏、直接顯示的明文字元,而不是經過加密後的密文。如密碼本身是123,明文密碼就直接顯示本體123。從信息安全的角度出發,任何網路服務都不應該保存或發送明文密碼。
(二)與明文對應的是密文
與其對應的是密文密碼,它是經過加密後再存儲或傳輸的密碼串,在你不知道解密規則時,是無法知道真實密碼的,這就涉及到了密文破譯。
(三)舉例
舉一個不恰當的例子可以幫助你理解,比方說一串密碼本體是123456,我設定的加密規則是abcdef依次對應123456,也就是a等於1,b等於2……,那麼我利用這個規則傳輸和存儲123456這串密碼時,就不是123456,而是abcdef,你只能看到abcdef,並且不知道我的加密規則,這時你就不會知道這串密碼其實表示的是123456。
當然,事實上加密規則通常會非常復雜,是計算機負責驗算的,現在所謂的「暴力破解」就是試遍所有可能性的破解方式,一般都比較費時,還需要一顆強大的cpu,還可以GPU加速破譯,還可以藉助聯網的N個計算機群體聯合運算來破譯。
③ 為什麼網站的密碼要明文存放
1.不用明文密碼沒法應付檢查。大家知道互聯網審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構的老闆,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什麼不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。
2.壓根不知道明文密碼有什麼問題。中國的互聯網有太多的沒基礎的新人,從石頭的縫隙中頑強的生長出來。這不是壞事,壞事的是這些人往往會在一些基礎問題上出現奇怪的毛病。例如有些程序員,寫程序很快,但是居然從來不知道密碼明文存放會導致什麼問題。更神奇的是,這些人中,有一家銀行…
3.自信暴棚的混帳。有些人的自信總比別人強,而且強在莫名其妙的地方。例如:我的伺服器肯定是沒問題的,所以我的密碼一定要明文存放。如果不,就是質疑我的技術。
實話說,這種人真是少數中的少數。
4.遺留系統。很多系統設計的時候因為某個其他理由,使用了明文密碼。等後來這個理由不存在了,密碼系統升級成了一個困難。因為密碼系統太重要了,所以在沒有太大利益的情況下,總是傾向於不修改系統。但是有什麼足夠利益來推動系統修改呢?用戶安全問題在發現前不是一個問題——好比這次的CSDN,不是被暴出來的話就根本不會被當作一個問題。系統的管理者,每個人都沒有足夠的動力去修改系統。
5.世界的陰暗角落。有的時候,程序員/老闆明文存放的理由,是為了方便盜竊用戶其他網站資料。例如我所知的某釣魚案例,你注冊網站,就提供很多免費服務,網站看起來也很靠譜——除了後來突然爆出這家網站其實暗地中用你的生日/密碼猜解信用卡/銀行卡密碼,大家才突然發現,這家網站其實根本沒有在美國注冊,而是一個聽都沒聽說過的國家。
而且很多網站提供從其他網站導入之類的功能,更加的危險。以前經常爆出twitter密碼被竊取,主要就是因為OAuth開放以前,twitter上的第三方應用需要提供原生密碼,導致很多小應用的目的其實就是收集密碼…
6.為了給用戶提供方便。這個理由和上一個很類似,不過不是為了某些險惡的目的。而是客戶經常要求——為什麼我不能做XX事,為什麼我不能blahblah。好吧,為了讓你能,我們就必須保存明文密碼。
④ 電腦保存的密碼在哪裡查看
怎樣查看電腦網頁所保存的密碼
1、首先,在瀏覽器右上角找到菜單圖標然後點擊
2、然後在彈出的窗口下,點擊其中的「設置」,然後就會跳轉到設置頁面,
3、在設置頁面,我們將「常規設置」切換至「隱私和安全」,然後在該項下可以看到「密碼管理」
4、我們繼續點擊「管理已保存密碼」,然後就可以看到目前那些已經被系統保存密碼的網站名稱以及我們的用戶名;
通過網路瀏覽器登錄那些需要輸入用戶名和密碼的網站時,系統都會在左上角提示我們是否記住該網站的密碼,如果選擇「記住密碼」,這樣以後就不需要再次輸入了,會比較方便。
⑤ 如何在電腦上保存用戶名和密碼
看看IE是不是按下面第一項設置了,如果設置了在登錄時在點擊一下是否保存密碼和用戶名前面的勾就可以了。 1、打開IE選工具/Internet選項/內容/自動完成/自動完成功能應用於下面有四個選項,如果沒有勾選,請勾選,按確定應用即可。 2、如果故障依舊,運行輸入gpedit.msc回車打開組策略,在左側選用戶配置/管理模板/Windows組件/Internet Explorer/在右側選「禁用表單的自動完成功能」和「禁止自動完成功能保存密碼」雙擊它,在打開的對話框中選擇「未配置」然後按應用確定,重啟電腦即可。 3、也可以,修改注冊表啟動「自動完成」功能 開始/運行輸入regedit回車打開注冊表編輯器,依次單擊展開[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]子健,在其下新建一個名為「Autocomplete」的子健,然後在右窗口新建一個名為的「Append Completion」的「字元串值」鍵值項,將其數值設置為「YES」即可(註:上面新建的鍵值如果已存在就不需要重建,按照上述方法進行修改就是了)。
⑥ 電腦記住的密碼保存在哪
電腦記住的密碼都不是以明文的形式保存的。基本都保存在我的文檔中,但都是經過加密的。
以前人們以為QQ有記住密碼,那麼密碼肯定保存在本機,即使是加密後的,也可以按照一定的規則反向運算得到真正的密碼。
其實是不行的。因為有種加密演算法叫「單向散列演算法」。即使你知道這個密碼的加密規則,也沒法反著算回去。
舉個例子。採用單向散列演算法的加密,就好比你知道了商和余數,但是你永遠不知道具體是哪個被除數和除數。因為對於一定的商和余數來說,有無窮多個被除數和除數能夠產生。
⑦ 如何安全保存密碼
過去一段時間來,眾多的網站遭遇用戶密碼資料庫泄露事件,這甚至包括頂級的互聯網企業–NASDQ上市的商務社交網路Linkedin,國內諸如CSDN一類的就更多了。
層出不窮的類似事件對用戶會造成巨大的影響,因為人們往往習慣在不同網站使用相同的密碼,一家「暴庫」,全部遭殃。
那麼在選擇密碼存儲方案時,容易掉入哪些陷阱,以及如何避免這些陷阱?我們將在實踐中的一些心得體會記錄於此,與大家分享。
菜鳥方案:
直接存儲用戶密碼的明文或者將密碼加密存儲。
曾經有一次我在某知名網站重置密碼,結果郵件中居然直接包含以前設置過的密碼。我和客服咨詢為什麼直接將密碼發送給用戶,客服答曰:「減少用戶步驟,用戶體驗更好」;再問「管理員是否可以直接獲知我的密碼」, 客服振振有詞:「我們用XXX演算法加密過的,不會有問題的」。 殊不知,密碼加密後一定能被解密獲得原始密碼,因此,該網站一旦資料庫泄露,所有用戶的密碼本身就大白於天下。
以後看到這類網站,大家最好都繞道而走,因為一家「暴庫」,全部遭殃。
入門方案:
將明文密碼做單向哈希後存儲。
單向哈希演算法有一個特性,無法通過哈希後的摘要(digest)恢復原始數據,這也是「單向」二字的來源,這一點和所有的加密演算法都不同。常用的單向哈希演算法包括SHA-256,SHA-1,MD5等。例如,對密碼「passwordhunter」進行SHA-256哈希後的摘要(digest)如下:
「」
可能是「單向」二字有誤導性,也可能是上面那串數字唬人,不少人誤以為這種方式很可靠, 其實不然。
單向哈希有兩個特性:
1)從同一個密碼進行單向哈希,得到的總是唯一確定的摘要
2)計算速度快。隨著技術進步,尤其是顯卡在高性能計算中的普及,一秒鍾能夠完成數十億次單向哈希計算
結合上面兩個特點,考慮到多數人所使用的密碼為常見的組合,攻擊者可以將所有密碼的常見組合進行單向哈希,得到一個摘要組合,然後與資料庫中的摘要進行比對即可獲得對應的密碼。這個摘要組合也被稱為rainbow table。
更糟糕的是,一個攻擊者只要建立上述的rainbow table,可以匹配所有的密碼資料庫。仍然等同於一家「暴庫」,全部遭殃。以後要是有某家廠商宣布「我們的密碼都是哈希後存儲的,絕對安全」,大家對這個行為要特別警惕並表示不屑。有興趣的朋友可以搜索下,看看哪家廠商躺著中槍了。
進階方案:
將明文密碼混入「隨機因素」,然後進行單向哈希後存儲,也就是所謂的「Salted Hash」。
這個方式相比上面的方案,最大的好處是針對每一個資料庫中的密碼,都需要建立一個完整的rainbow table進行匹配。 因為兩個同樣使用「passwordhunter」作為密碼的賬戶,在資料庫中存儲的摘要完全不同。
10多年以前,因為計算和內存大小的限制,這個方案還是足夠安全的,因為攻擊者沒有足夠的資源建立這么多的rainbow table。 但是,在今日,因為顯卡的恐怖的並行計算能力,這種攻擊已經完全可行。
專家方案:
故意增加密碼計算所需耗費的資源和時間,使得任何人都不可獲得足夠的資源建立所需的rainbow table。
這類方案有一個特點,演算法中都有個因子,用於指明計算密碼摘要所需要的資源和時間,也就是計算強度。計算強度越大,攻擊者建立rainbow table越困難,以至於不可繼續。
這類方案的常用演算法有三種:
1)PBKDF2(Password-Based Key Derivation Function)
PBKDF2簡單而言就是將salted hash進行多次重復計算,這個次數是可選擇的。如果計算一次所需要的時間是1微秒,那麼計算1百萬次就需要1秒鍾。假如攻擊一個密碼所需的rainbow table有1千萬條,建立所對應的rainbow table所需要的時間就是115天。這個代價足以讓大部分的攻擊者忘而生畏。
美國政府機構已經將這個方法標准化,並且用於一些政府和軍方的系統。 這個方案最大的優點是標准化,實現容易同時採用了久經考驗的SHA演算法。
2) bcrypt
bcrypt是專門為密碼存儲而設計的演算法,基於Blowfish加密演算法變形而來,由Niels Provos和David Mazières發表於1999年的USENIX。
bcrypt最大的好處是有一個參數(work factor),可用於調整計算強度,而且work factor是包括在輸出的摘要中的。隨著攻擊者計算能力的提高,使用者可以逐步增大work factor,而且不會影響已有用戶的登陸。
bcrypt經過了很多安全專家的仔細分析,使用在以安全著稱的OpenBSD中,一般認為它比PBKDF2更能承受隨著計算能力加強而帶來的風險。bcrypt也有廣泛的函數庫支持,因此我們建議使用這種方式存儲密碼。
3) scrypt
scrypt是由著名的FreeBSD黑客 Colin Percival為他的備份服務 Tarsnap開發的。
和上述兩種方案不同,scrypt不僅計算所需時間長,而且佔用的內存也多,使得並行計算多個摘要異常困難,因此利用rainbow table進行暴力攻擊更加困難。scrypt沒有在生產環境中大規模應用,並且缺乏仔細的審察和廣泛的函數庫支持。但是,scrypt在演算法層面只要沒有破綻,它的安全性應該高於PBKDF2和bcrypt。
來源:堅果雲投稿,堅果雲是一款類似Dropbox的雲存儲服務,可以自動同步、備份文件。
⑧ 密碼加密的方法有那些
用戶密碼加密方式
用戶密碼保存到資料庫時,常見的加密方式有哪些?以下幾種方式是常見的密碼保存方式:
1. 明文保存
比如用戶設置的密碼是「123456」,直接將「123456」保存在資料庫中,這種是最簡單的保存方式,也是最不安全的方式。但實際上不少互聯網公司,都可能採取的是這種方式。
2. 對稱加密演算法來保存
比如3DES、AES等演算法,使用這種方式加密是可以通過解密來還原出原始密碼的,當然前提條件是需要獲取到密鑰。不過既然大量的用戶信息已經泄露了,密鑰很可能也會泄露,當然可以將一般數據和密鑰分開存儲、分開管理,但要完全保護好密鑰也是一件非常復雜的事情,所以這種方式並不是很好的方式。
總結
採用PBKDF2、bcrypt、scrypt等演算法可以有效抵禦彩虹表攻擊,即使數據泄露,最關鍵的「用戶密碼」仍然可以得到有效的保護,黑客無法大批量破解用戶密碼,從而切斷撞庫掃號的根源。
【加密軟體編輯推薦】
易控網盾加密軟體--重要文件防泄密專家!輕松實現單位內部文件自動加密保護,加密後的文件在單位內部正常流轉使用。未經許可,任何私自拷貝加密文件外發出去,都將打開為亂碼,無法使用!對於發送給客戶等第三方的文件,可實現控制打開時間和打開次數等防泄密參數!同時可設置對員工電腦文件自動備份,防止惡意刪除造成核心數據的遺失!從源頭防止企業核心文件被外泄!
相關頁面:加密軟體,文件加密,文檔加密,圖紙加密軟體,防泄密軟體,CAD加密軟體,文件外發加密
⑨ 明文存儲密碼和密文密碼是什麼意思
明文存儲就是他們存儲密碼信息的資料庫里的密碼信息是直接放進去的,沒有經過加密,資料庫被盜取的話所有密碼信息全部都會直接泄露。
密文就是加密了唄。
⑩ 記住密碼中的「密碼」保存在哪裡
簡單的回答,「記住密碼」中的「密碼」都是保存在本地的,電腦里記住的密碼是保存在電腦硬碟中,手機里記住的密碼則保存在手機的存儲卡中。保存在本地,才能隨時都能調用。
多數APP以及瀏覽器都有「記住密碼」的功能,以方便用戶快速登錄。不同軟體對用戶密碼的加密和保存的方法及程序會有差別,但為了安全,基本都是作為用戶的個人數據保存在本地。細心的用戶查看某些軟體的安裝文件夾時,會發現有一個叫做「user data」的文件夾,被保存的用戶密碼正是被加密後保存在這個文件夾里。刪除這個文件夾的文件後,所有記住的密碼就會丟失。因為作為個人數據保留在本地,而並非網路上,所以換一個設備登錄就必須重新輸入密碼。
「記住密碼」的功能也會帶來安全隱患,所以,強烈建議不要在非本人的設備上使用這一功能。另外,建議定期更新密碼。