应如何安全地存储网络托管的密码？

Question

可能的重复：
对数据库中的纯文本密码进行加密/哈希处理

最近，我发现主要网络托管公司以明文形式存储用户的密码，甚至在尝试验证用户身份时要求用户提供密码的最后 4 位数字。这似乎是极其错误的并且充满了安全问题。我相信他们这样做的原因只是为了帮助识别用户。

1. 安全存储用户密码的正确方法是什么？安全可靠地识别用户而不询问用户密码（例如通过电话）的正确方法是什么？
2. 谷歌搜索了一下后，似乎很多人都抱怨一些流行的网络托管提供商使用明文方法。许多网络托管提供商真的使用这种明文方法来存储密码吗？有哪些流行的网络主机可以安全地存储用户的个人信息？

Answer 1

1a) 不存储用户的密码，仅存储其（加盐的）哈希值。当用户登录时，对他们提供的密码进行哈希处理，并将其与您存档的哈希值进行比较。如果您不知道用户的真实密码，就无法损害其安全性。

1b) 通过电话安全地识别用户是很困难的，您将付出的努力取决于未经授权访问帐户的“危险”程度。我的银行账户要求我使用我的家庭、工作或手机号码（我已提前列出）拨打电话。您可以要求呼叫者验证您存档的随机选择的帐户信息（例如帐号、帐单邮政编码、中间名首字母、出生日期、信用卡号的第七位数字等）。某些基于电话的系统具有与普通密码/PIN 不同的每用户 PIN 码。您可以通过短信向呼叫者的手机发送一次性密码，并要求他们在一定时间内将其输入系统。我见过的更安全的系统之一使用 Verisign 的 VIP Mobile 应用程序生成一次性密码。 （当然如果有人偷了你的手机，也没有多大帮助）

2）我怀疑信息是否公开。如果有一个不安全地存储用户帐户信息的公司列表，它将兼作“请破解我”列表，而这些公司将受到入侵尝试的打击。

Answer 2

关于#1 - 正确的方法是根本不存储密码。相反，存储密码的加盐哈希值。

至于在不询问密码的情况下安全地识别用户，这是一个有点棘手的问题。您可能用来识别它们的任何内容本质上都会成为另一个密码（与第一个密码具有相同的存储问题）。实际上，大多数服务都会使用其他一些个人信息 - soc 的最后 4 位数字。秒。号码、母亲的婚前姓名或“安全问题”。但几乎可以肯定，所有这些都不如好的密码安全。

Answer 3

您通常根本不想存储密码——您存储加盐密码的哈希值。当他们想要登录时，您对他们提供的密码进行加盐和散列，并将结果与​​存储的散列进行比较。

Answer 4

解决您问题的第一部分：根本不要存储密码。存储密码的哈希值（加盐）。

为了通过电话识别他们，我可能会让他们首先提前验证电话号码，然后将其与他们可以定义的秘密问题结合使用。

遗憾的是，许多主机不安全地存储密码。我没有足够的经验来评论这方面的好主人。