Web services 安全薄弱环节

我已经阅读了大量关于散列和盐析密码、做什么、不做什么等的信息。我看到的问题是：如果一个黑客要通过努力窃取散列密码列表，那么他难道不能访问所有受密码保护的数据吗？这就像把密码放在保险箱里一样。破门而入，偷走密码。如果我是小偷，我就拿钱

现在，一家大公司可能有一个单独的服务器用于身份验证。然而，黑客想要的是数据，而不是密码。因此，如果两台服务器都相等，我将分为一台保存数据的服务器

我在这里遗漏了计算机安全的一些基本缺陷吗？在没有散列文件的情况下，是否存在破解密码的非社交方式

谢谢你的帮助

---

-Dave

一个原因是大多数用户在多个帐户中使用相同的密码。未加密的密码意味着我在其他网站上的帐户可能会被泄露——特别是因为电子邮件是登录的常见字段。通过散列密码，如果一个站点的数据库被盗，我的电子邮件帐户就不会同时被泄露。

你认为这样的人可以访问整个数据库。事实并非总是如此。他们可能偶然发现一个页面，其中散列被意外地暴露给用户，因此无法访问数据库的其他部分，或者他们可能使用SQL注入以受限的方式提取某些数据，例如，他们可能发现您的users表被称为users，但并不是说你的信用卡表被称为lolcats

---

另一个安全考虑是您的内部IT人员。拥有数据库合法访问权限的开发人员通常仍然不应该看到每个人的明文密码。

大多数用户会在多个系统中重复使用密码。如果攻击者闯入您的系统，您不希望他能够使用您的数据闯入不同网站上用户的帐户

此外，如果您使用用户密码加密数据，并且只存储密码的散列，那么攻击者将无法执行任何操作，即使他获取了您的整个数据库，除非他能够破解散列。请注意，这将使实现“忘记密码”功能完全不可能，除非您有办法使用安全答案解密数据，使其成为第二个密码