真實案例分享
前陣子接到一通讓我印象深刻的求救電話。使用者急切地說:「我忘記密碼了,能幫我查一下我的密碼是什麼嗎?」
當我回答:「不好意思,我們無法查看您的密碼」時,對方顯然有些不悅:「之前不是打電話就可以查到密碼嗎?」
面對這樣的疑問,我只能耐心解釋:「很抱歉,現在網站已加強資訊安全措施,資料庫中的密碼都經過加密處理,就連工程師也無法得知您的實際密碼。」嗯,你沒有聽錯
就算工程師打開資料庫,也看不到你的密碼
其實許多使用者對於現代密碼安全機制仍不夠了解。一個附合資安規範的系統是堅持密碼不能以明碼存放。因此,系統工程師也無法幫你找回原本密碼,只能讓你重設。
今天就來和大家分享幾個關於密碼安全的重要觀念。
文章目錄
- 真實案例分享
- 1. 為什麼資料庫要加密存放密碼?方案一:忘記密碼重設流程方案二:身份驗證後提供臨時密碼
- 2. 系統如何知道我重複使用舊密碼?
- 3. 如果工程師設定了與我相同的密碼,他會知道我的密碼嗎? 避免使用常見密碼技術層面的防護機制
- 4. 為什麼有些系統的工程師可以查看密碼?
- IT媽媽的實用建議
- 結語
1. 為什麼資料庫要加密存放密碼?
在安全的系統設計中,使用者密碼絕對不會以明文形式儲存在資料庫中。即使是擁有最高權限的工程師或是主管,打開後端資料庫時,也只能看到一串看似亂碼的加密字符。
那麼忘記密碼該怎麼辦呢?
現代系統提供了兩種主要的解決方案:
方案一:忘記密碼重設流程
系統會向您註冊時提供的email或手機發送重設連結或是臨時驗證碼 ,讓您在限定時間內 ( 大約 20 分鐘以內 ) 透過此連結或是驗證碼重新設定密碼。這是目前最常見也最安全的做法。
pchome 忘記密碼check
方案二:身份驗證後提供臨時密碼
以中國信託APP為例,當使用者忘記密碼時,可透過ATM進行身份驗證後獲得臨時密碼,並須在規定時間內登入重新設定新密碼。
中國信託APP 忘記密碼
2. 系統如何知道我重複使用舊密碼?
這是個很有趣的技術問題。說好的不知道密碼是什麼,為何系統卻知道我當初設的密碼。最常見的方法是當您輸入新密碼時,系統會執行以下流程:
- 加密新密碼:將您剛輸入的密碼進行加密處理
- 比對歷史記錄:與資料庫中已加密的歷史密碼進行比對
- 判斷重複性:如果加密結果相同,代表您使用了重複的密碼
整個過程中,系統從未接觸到您的明文密碼,一切比對都在加密狀態下進行。
3. 如果工程師設定了與我相同的密碼,他會知道我的密碼嗎?
這個擔心其實是多餘的,原因有二:
避免使用常見密碼
首先,我們應該避免使用「菜市場密碼」(如:123456、password等)。請參考本文:你討厭菜市場名字,卻愛用菜市場密碼?小心成為駭客眼中的肥羊!選擇獨特且複雜的密碼,避免與個人資訊相關的關鍵字,是保護帳戶安全的第一步。
技術層面的防護機制
嚴謹的系統設計會確保即使是相同的密碼,加密後也會產生不同的密文。常見的做法是將密碼與使用者帳號結合後再進行加密,這樣即使密碼相同,由於帳號不同,最終的加密結果也會完全不同。
4. 為什麼有些系統的工程師可以查看密碼?
如果某個系統的工程師能夠直接告訴您密碼,這通常意味著該系統存在嚴重的安全漏洞——密碼很可能以明文形式儲存在資料庫中。
這樣的系統安全嗎?
答案是否定的。如果工程師都能輕易查看您的密碼,那麼駭客一旦入侵系統,也能輕易獲取所有使用者的個人資料。這樣的系統風險極高,不建議繼續使用。
IT媽媽的實用建議
作為IT媽媽,我深知管理多個系統密碼的困擾。對於不常使用的系統,我通常不會特地記住密碼,也不輕易使用Google或Facebook帳號進行第三方登入。
我的解決方案很簡單:每次需要登入時,直接使用「忘記密碼」功能重設密碼。
這種做法不僅避免了密碼管理的困擾,也確保每次使用的都是最新的密碼,從某種程度上還提升了安全性。
結語
現代網站的密碼安全機制看似複雜,實際上都是為了保護使用者的資料安全。當工程師無法告訴您密碼時,請別感到困擾,這反而證明了該系統採用了正確的安全措施。
一個安全的系統,連自己的工程師都不知道使用者的密碼,這才是真正值得信賴的系統。
