腾讯大牛教你web前后端漏洞分析与防御-密码安全

需求：NodeJS->接入层->密码管理，加密

密码作用

信息摘要算法（哈希算法）

这种函数是一种摘要算法，你给他输入一个任意长的数据A他给你返回固定长度的数据B，也称B为“指纹”。

• 明文 -> 密文
• 雪崩效应（密码混乱）
• 不可逆性
• 密文固定长度
• md5 sha1 sha256

md5单向变换

案例

密码存储

alter table `user` add column `salt` varchar(64) NULL default '' after `password`;

密码传输安全性（明文）

前端加密只能阻止用户的明文密码不被拿到。（防止伤害其他网站，随机性，防止反破解）

jspm install npm:js-md5

PHP密码

md5,sha1,hash函数

生物特征密码问题（指纹（唇纹），虹膜（3sTAR），声纹（微信）,人脸…..）

• 私密性-容易泄露
• 安全性-碰撞（概率性（相似）判断）
  
  • 无雪崩
    
    • 唯一性-终身唯一-无法修改