① 明文密码是什么意思
明文密码,即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候,用的是没有隐藏、直接显示的明文字符,而不是经过加密后的密文。与之相对的是密文密码。
明文密码就是直接可以看懂的,如密码为123,那么密文密码是三个其他字符,明文密码则是123。从信息安全的角度出发,任何网络服务都不应该保存或发送明文密码。
② 什么是明文密钥
(一)明文密码的定义
明文密码(Cleartext Password),即传输或保存为明文的密码。具体是指保存密码或网络传送密码的时候,用的是没有隐藏、直接显示的明文字符,而不是经过加密后的密文。如密码本身是123,明文密码就直接显示本体123。从信息安全的角度出发,任何网络服务都不应该保存或发送明文密码。
(二)与明文对应的是密文
与其对应的是密文密码,它是经过加密后再存储或传输的密码串,在你不知道解密规则时,是无法知道真实密码的,这就涉及到了密文破译。
(三)举例
举一个不恰当的例子可以帮助你理解,比方说一串密码本体是123456,我设定的加密规则是abcdef依次对应123456,也就是a等于1,b等于2……,那么我利用这个规则传输和存储123456这串密码时,就不是123456,而是abcdef,你只能看到abcdef,并且不知道我的加密规则,这时你就不会知道这串密码其实表示的是123456。
当然,事实上加密规则通常会非常复杂,是计算机负责验算的,现在所谓的“暴力破解”就是试遍所有可能性的破解方式,一般都比较费时,还需要一颗强大的cpu,还可以GPU加速破译,还可以借助联网的N个计算机群体联合运算来破译。
③ 为什么网站的密码要明文存放
1.不用明文密码没法应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。
2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。更神奇的是,这些人中,有一家银行…
3.自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。
实话说,这种人真是少数中的少数。
4.遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。
5.世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说过的国家。
而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码…
6.为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能,我们就必须保存明文密码。
④ 电脑保存的密码在哪里查看
怎样查看电脑网页所保存的密码
1、首先,在浏览器右上角找到菜单图标然后点击
2、然后在弹出的窗口下,点击其中的“设置”,然后就会跳转到设置页面,
3、在设置页面,我们将“常规设置”切换至“隐私和安全”,然后在该项下可以看到“密码管理”
4、我们继续点击“管理已保存密码”,然后就可以看到目前那些已经被系统保存密码的网站名称以及我们的用户名;
通过网络浏览器登录那些需要输入用户名和密码的网站时,系统都会在左上角提示我们是否记住该网站的密码,如果选择“记住密码”,这样以后就不需要再次输入了,会比较方便。
⑤ 如何在电脑上保存用户名和密码
看看IE是不是按下面第一项设置了,如果设置了在登录时在点击一下是否保存密码和用户名前面的勾就可以了。 1、打开IE选工具/Internet选项/内容/自动完成/自动完成功能应用于下面有四个选项,如果没有勾选,请勾选,按确定应用即可。 2、如果故障依旧,运行输入gpedit.msc回车打开组策略,在左侧选用户配置/管理模板/Windows组件/Internet Explorer/在右侧选“禁用表单的自动完成功能”和“禁止自动完成功能保存密码”双击它,在打开的对话框中选择“未配置”然后按应用确定,重启电脑即可。 3、也可以,修改注册表启动“自动完成”功能 开始/运行输入regedit回车打开注册表编辑器,依次单击展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]子健,在其下新建一个名为“Autocomplete”的子健,然后在右窗口新建一个名为的“Append Completion”的“字符串值”键值项,将其数值设置为“YES”即可(注:上面新建的键值如果已存在就不需要重建,按照上述方法进行修改就是了)。
⑥ 电脑记住的密码保存在哪
电脑记住的密码都不是以明文的形式保存的。基本都保存在我的文档中,但都是经过加密的。
以前人们以为QQ有记住密码,那么密码肯定保存在本机,即使是加密后的,也可以按照一定的规则反向运算得到真正的密码。
其实是不行的。因为有种加密算法叫“单向散列算法”。即使你知道这个密码的加密规则,也没法反着算回去。
举个例子。采用单向散列算法的加密,就好比你知道了商和余数,但是你永远不知道具体是哪个被除数和除数。因为对于一定的商和余数来说,有无穷多个被除数和除数能够产生。
⑦ 如何安全保存密码
过去一段时间来,众多的网站遭遇用户密码数据库泄露事件,这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,国内诸如CSDN一类的就更多了。
层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。
那么在选择密码存储方案时,容易掉入哪些陷阱,以及如何避免这些陷阱?我们将在实践中的一些心得体会记录于此,与大家分享。
菜鸟方案:
直接存储用户密码的明文或者将密码加密存储。
曾经有一次我在某知名网站重置密码,结果邮件中居然直接包含以前设置过的密码。我和客服咨询为什么直接将密码发送给用户,客服答曰:“减少用户步骤,用户体验更好”;再问“管理员是否可以直接获知我的密码”, 客服振振有词:“我们用XXX算法加密过的,不会有问题的”。 殊不知,密码加密后一定能被解密获得原始密码,因此,该网站一旦数据库泄露,所有用户的密码本身就大白于天下。
以后看到这类网站,大家最好都绕道而走,因为一家“暴库”,全部遭殃。
入门方案:
将明文密码做单向哈希后存储。
单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,这也是“单向”二字的来源,这一点和所有的加密算法都不同。常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进行SHA-256哈希后的摘要(digest)如下:
“”
可能是“单向”二字有误导性,也可能是上面那串数字唬人,不少人误以为这种方式很可靠, 其实不然。
单向哈希有两个特性:
1)从同一个密码进行单向哈希,得到的总是唯一确定的摘要
2)计算速度快。随着技术进步,尤其是显卡在高性能计算中的普及,一秒钟能够完成数十亿次单向哈希计算
结合上面两个特点,考虑到多数人所使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。
更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃。以后要是有某家厂商宣布“我们的密码都是哈希后存储的,绝对安全”,大家对这个行为要特别警惕并表示不屑。有兴趣的朋友可以搜索下,看看哪家厂商躺着中枪了。
进阶方案:
将明文密码混入“随机因素”,然后进行单向哈希后存储,也就是所谓的“Salted Hash”。
这个方式相比上面的方案,最大的好处是针对每一个数据库中的密码,都需要建立一个完整的rainbow table进行匹配。 因为两个同样使用“passwordhunter”作为密码的账户,在数据库中存储的摘要完全不同。
10多年以前,因为计算和内存大小的限制,这个方案还是足够安全的,因为攻击者没有足够的资源建立这么多的rainbow table。 但是,在今日,因为显卡的恐怖的并行计算能力,这种攻击已经完全可行。
专家方案:
故意增加密码计算所需耗费的资源和时间,使得任何人都不可获得足够的资源建立所需的rainbow table。
这类方案有一个特点,算法中都有个因子,用于指明计算密码摘要所需要的资源和时间,也就是计算强度。计算强度越大,攻击者建立rainbow table越困难,以至于不可继续。
这类方案的常用算法有三种:
1)PBKDF2(Password-Based Key Derivation Function)
PBKDF2简单而言就是将salted hash进行多次重复计算,这个次数是可选择的。如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟。假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天。这个代价足以让大部分的攻击者忘而生畏。
美国政府机构已经将这个方法标准化,并且用于一些政府和军方的系统。 这个方案最大的优点是标准化,实现容易同时采用了久经考验的SHA算法。
2) bcrypt
bcrypt是专门为密码存储而设计的算法,基于Blowfish加密算法变形而来,由Niels Provos和David Mazières发表于1999年的USENIX。
bcrypt最大的好处是有一个参数(work factor),可用于调整计算强度,而且work factor是包括在输出的摘要中的。随着攻击者计算能力的提高,使用者可以逐步增大work factor,而且不会影响已有用户的登陆。
bcrypt经过了很多安全专家的仔细分析,使用在以安全着称的OpenBSD中,一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。bcrypt也有广泛的函数库支持,因此我们建议使用这种方式存储密码。
3) scrypt
scrypt是由着名的FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的。
和上述两种方案不同,scrypt不仅计算所需时间长,而且占用的内存也多,使得并行计算多个摘要异常困难,因此利用rainbow table进行暴力攻击更加困难。scrypt没有在生产环境中大规模应用,并且缺乏仔细的审察和广泛的函数库支持。但是,scrypt在算法层面只要没有破绽,它的安全性应该高于PBKDF2和bcrypt。
来源:坚果云投稿,坚果云是一款类似Dropbox的云存储服务,可以自动同步、备份文件。
⑧ 密码加密的方法有那些
用户密码加密方式
用户密码保存到数据库时,常见的加密方式有哪些?以下几种方式是常见的密码保存方式:
1. 明文保存
比如用户设置的密码是“123456”,直接将“123456”保存在数据库中,这种是最简单的保存方式,也是最不安全的方式。但实际上不少互联网公司,都可能采取的是这种方式。
2. 对称加密算法来保存
比如3DES、AES等算法,使用这种方式加密是可以通过解密来还原出原始密码的,当然前提条件是需要获取到密钥。不过既然大量的用户信息已经泄露了,密钥很可能也会泄露,当然可以将一般数据和密钥分开存储、分开管理,但要完全保护好密钥也是一件非常复杂的事情,所以这种方式并不是很好的方式。
总结
采用PBKDF2、bcrypt、scrypt等算法可以有效抵御彩虹表攻击,即使数据泄露,最关键的“用户密码”仍然可以得到有效的保护,黑客无法大批量破解用户密码,从而切断撞库扫号的根源。
【加密软件编辑推荐】
易控网盾加密软件--重要文件防泄密专家!轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
相关页面:加密软件,文件加密,文档加密,图纸加密软件,防泄密软件,CAD加密软件,文件外发加密
⑨ 明文存储密码和密文密码是什么意思
明文存储就是他们存储密码信息的数据库里的密码信息是直接放进去的,没有经过加密,数据库被盗取的话所有密码信息全部都会直接泄露。
密文就是加密了呗。
⑩ 记住密码中的“密码”保存在哪里
简单的回答,“记住密码”中的“密码”都是保存在本地的,电脑里记住的密码是保存在电脑硬盘中,手机里记住的密码则保存在手机的存储卡中。保存在本地,才能随时都能调用。
多数APP以及浏览器都有“记住密码”的功能,以方便用户快速登录。不同软件对用户密码的加密和保存的方法及程序会有差别,但为了安全,基本都是作为用户的个人数据保存在本地。细心的用户查看某些软件的安装文件夹时,会发现有一个叫做“user data”的文件夹,被保存的用户密码正是被加密后保存在这个文件夹里。删除这个文件夹的文件后,所有记住的密码就会丢失。因为作为个人数据保留在本地,而并非网络上,所以换一个设备登录就必须重新输入密码。
“记住密码”的功能也会带来安全隐患,所以,强烈建议不要在非本人的设备上使用这一功能。另外,建议定期更新密码。