我们在注册帐号时怎样保证密码相对安全

        我们在一些网站、APP上注册时必然涉及到密码，一些网站要求使用密码强度要高，比如腾讯的QQ，有些人不理解为什么密码要那么复杂，如果该被盗号一样被盗，和密码复杂不复杂一点关系都没有。针对这一点我们来说说针对用户密码的安全问题。

        先说一下程序密码设计的规则：

        1、后台数据库直接保存明文（现在基本上不存在了），这样的公司后台数据库一旦被黑，那么所有的密码都会外泄，损失非常大（例如中国最大IT社区CSDN 600W用户密码外泄，明文保存密码导致的严重后果），咱们用户无论把密码设置的多么复杂都没用，人家能实实在在的拿到你的密码，这就是大多数人不理解密码为什么要设置那么复杂了。

        2、后台数据库使用直接使用的MD5、SHA-256、SHA-512等哈希加密算法。这样即使数据库被黑，攻击者拿到密码也无法知道你的密码是什么。但是也不是绝对安全的，比如彩虹表，一些简单的密码还是会被破解。

3、在上列算法中采用固定字符串加盐，这种使用的比较多md5(password+salt),但是这样依然没什么用，攻击者都可以拿到数据库，同样可以拿到源代码，根据源代码攻击者很轻松的就可以构造新的彩虹表出来逆推密码。

        4、在上述算法中采用随机字符加密、动态加密，保证每个人的加盐都不同，让攻击者没办法制作彩虹表，比如Math.random()方法随机生成的小数，或者使用UUID，将盐保存到数据表中，这样即使两个用户设置的密码都是1，后台存储的值也是天壤之别。

        在了解程序的密码设计规则之后我们来看看我们用户改如何设置密码来保证相对安全：

        1、设置的相对简单，比如数字、英文单词，出生年月等，如果该网站使用的只是MD5加密，使用密文直接在百度上直接解密，一般也就破解了，根本用不上彩虹表出场你的密码就被破解。采用随机字符串加密会好很多，但是抵挡不住暴力破解（穷举破解密码，可自行百度）。

        2、密码设置的比较复杂，根据上面的加密规则来看就相对安全的很多，彩虹表虽然大可以按TB计算，但是如果很复杂还是跑不了那么多。如果密码+数字+标点组合十个长度的密码绝大多数的彩虹表就破解不了了。所以密码长度、复杂度能很大程度的影响攻击者的破解难度。

        3、不同网站尽量不要使用同一个密码。这个比较著名的就是12306密码泄漏事件，2014年12月份12306上大量用户密码外泄，一时间部分用户的火车票被退，导致人心惶惶，最后查明是攻击者使用网络游戏和多个网站泄漏的密码进行撞库导致。同样遭受撞库影响比较大的是2016年的百度云盘，50W网友的百度云盘被塞满小黄片，黑客用来倒卖帐号牟利。这么多事件告诉我们多个平台不要使用同一个密码，尤其是一些小平台、小公司上，它们的信息最容易泄漏，一旦泄漏就表示使用同样密码的其他平台同样承受着风险。

        4、如果你怕密码忘记而会找个地方存储下来，记得密码多尽量使用物理备份，不要使用云盘、网络日记等备份，同样很容易被泄漏。

        密码安全是开发者们不断致力于追求的目标，同时用户也要注意保存自己的密码，尽量使密码复杂化、分离化，密码复杂有很大好处，对于破解者有很大难度。