利用 #傳統數據庫 來貯存密碼會遇上一個問題,如果被 #駭客 盜取了密碼,那就大件事了。於是有人想到利用Hushing Function將密碼都變成Hush Value,那麼就算駭客取得 #登入及密碼 也得物無所用,而系統只需對比客戶輸入的密碼的Hush Value就可以確認身份。
看似ok,但這方法行得通嗎?NO,駭客會將一些人們常用的密碼例如『Password』的Hush Value拿來比較,他們將找到一大堆美味的點心。
所以應該將客戶的密碼加上一些 #隨機的號碼 然後利用Hushing Function將它們變成一堆數字(Hush Value)這樣就再大大增加駭客取得登入及密碼的難度了。 例:取電話號等2-4 號碼加在後方
Password + 256 = Password256 的SHA-256 Hush Value d88b703dd5f152408050bb1d9cc2f51ea2cc1250f454162d580bfff3e961e8de
Password + 139 = Password139 的SHA-256 Hush Value 718fb75fce66bfa682b990e2e20096aa6cb588ab5b3e612f4bb92cda5cf4b1f8
這可取會員號碼、身份証號碼、電話號碼、甚至是隨機號碼,可以是3個數字也可是6個數字,不容易估的。
