我一直认为将密码以纯文本形式存储在数据库中是(正如这里的其他人所说)是一件非常糟糕的事情™。
从历史上看,我们的大部分服务器端编码需求都外包给了一组程序员。他们将密码以纯文本形式存储在 MySQL 数据库中。
作为常驻代码猴子(顺便说一句,这是第一个在这里工作的精通服务器端的猴子,所以我在继承地球,可以这么说)我有一种胃里的感觉,那就是我的流浪汉将上线当这种纯文本废话被利用时。
我试图向我的老板解释纯文本密码是多么糟糕,但我突然明白了:我想我从来没有真正知道为什么它们如此糟糕。除了给你的黑客一张白银盘上的密码列表之外,还有更多的事情吗?这对我来说听起来已经够糟糕的了,但是在 la-la 的土地上,我们的网站是“安全的”并且不受任何黑客的攻击,这个论点似乎并没有削减它。我怎样才能说服(或吓唬)我的老板要求在他珍贵的网站上进行散列?