在我的公寓里,我连接到由大楼管理的私人WiFi网络。为了连接到互联网,我需要通过内部网服务器提供的网页登录。
出于对我的浏览器不要求我保存用户名和密码这一事实的兴趣,我决定查看源代码以查看它是如何完成的。这样做后,我遇到了一些奇怪的JS代码,该代码使用似乎是盐的东西编译密码,然后将其转换为hexMD5:
password = hexMD5(
'360' +
document.login.password.value +
'123�76310204336276�65360375311365�76�31311360117'
)
如果密码像这样被加盐和散列,肯定需要在服务器上做同样的事情,这意味着我的密码被保存在纯文本中?我可能错了,但我看不到任何其他方法。
对此的任何见解将不胜感激,如果这个问题更适合另一个 SE 站点,请告诉我。
我假设hexMD5()是一个将任何字符串转换为MD5哈希的实现。如果这是真的,那么不,您的密码不会以纯文本形式保存。
后端可以保存 MD5 哈希,并将存储的哈希与其从登录接收的哈希进行比较。
但是,如果他们每次登录时都会创建一个新的盐,那么是的,他们可能会将您的密码保存为明文,除非他们的实现类似于md5(salt + md5(password)).
SO 上的安全性有很多关于哈希的线程,如果您想了解更多信息。