【資安問題】你在網站上的密碼是明碼保存，還暗碼保存？

挖書王 @wahsuwang

【資安問題】剛聽到的一件很恐怖的事……PChome 網路購物，按忘記密碼，官方寄來的信件中，是直接寫「你當初使用的密碼」，而不是一個亂數生成的限定天數內使用的密碼，或是點下去直接重設密碼的連結。……也就是說，他們的資料庫內，你的密碼全是「明碼」，被人駭走，就能直接用帳密登入了。

挖書王 @wahsuwang

@wahsuwang 【資安問題】伺服器端保存密碼的安全作法，應該是「你打了一串明碼 → 跑加密演算（hash） → 生出一個爹娘都認不出是啥的鬼英數字串」，然後你登入時，密入的密碼，會再跑一次加密演算，與那串鬼英數字一致，就允許你登入。所以「只有你知道密碼的明碼」。

挖書王 @wahsuwang

@wahsuwang 【資安問題】而若你忘記密碼，以Google為例，會要求你提供一個進階註冊時，填寫的市話或手機號碼，才會發一封「重置密碼」的信件到備用信箱，讓你點信中的連結，去直接打新密碼，過程中完全不需要輸入原來的密碼。（當然你記得密碼登入後，是新舊密碼都要打才能改啦）

挖書王 @wahsuwang

@wahsuwang 【資安問題】不過如果很不幸，你的信箱帳密也被人破解或盜走了的話，那就沒啥可做的了。不過 Google 的話，還會傳手機簡訊給你，也許有辦法靠手機收認證碼，線上直接更改密碼吧。（個人沒試過所以只是猜測）……總之老把帳密被盜的責任推給使用者實在不行呀。

挖書王 @wahsuwang

@wahsuwang 【資安問題】不過最討厭的，還是「會記錄所有歷史密碼」的網路服務供應商了，玻璃渣跟 PChome 好像都是這樣，所以你想換回用過的舊密碼會被擋下，至於是用明檔存還暗碼存，就不確定了。（hash 加密過一樣可以比對加密過的字串確認是否一致，極少機率異碼會相同）

挖書王 @wahsuwang

@wahsuwang 【資安問題】順便簡單說一下惡質駭客或怪客怎麼盜你帳密的。只能使用信箱當帳號的，當然你的信箱公開放上網時，就有可能被試，而且是會所有網站都試（如果你的帳號真的那麼有用的話）。密碼部分，大家都有過用常見字當密碼的經驗吧，跑字典檔慢慢踹就好，一個被破，全都被破。

挖書王 @wahsuwang

@wahsuwang 【資安問題】也就是說，除非你不同網站，都用不同的帳密，或是開一個會隨機產生帳密的程式來管理（忘了叫啥名字去了），否則在使用「同一信箱」「同一暱稱」當帳號時，就可能一個站的密碼被破解，讓全部可能的網站都被順手破解了。（個人推薦的作法還是瀏覽器開自動填入帳密啦）

挖書王 @wahsuwang

@wahsuwang 【資安問題】補個密碼講解網站，使用者看了長知識，管理者看了保飯碗。 - 什麼是「加密」？什麼是「沒加密」？ | 我的密碼沒加密 http://t.co/StwSotWM5Z

挖書王 @wahsuwang

@wahsuwang 【資安問題】密碼設定教學 - Wini's Page https://t.co/EQj6KpbqQD

挖書王 @wahsuwang

@wahsuwang 【資安問題】自動產生並管理密碼的軟體 - keepass - Google 搜尋 https://t.co/frGY9QW1L0