Twitter：我们刚发现我们把所有推特用户密码明文存了……你们改密码吧

刚好跟上这阵子 PPv2 密码字典的话题

大部分的用户在各网站密码都是单一且重复性高的

明文密码的日志数据有作为字典的价值，被内鬼泄漏出去可能会给公司带来法律风险。

这水平也是搞笑了。应该是最开始调试用的代码。那么多年就没人发现问题？？？、

@ryd994 前端 hash 可以防止多个网站共用一个密码的情况。

@ryd994 我想的是如果大家在前端 hash 的时候都不加盐，那就可以在其他同密码的网站重放 hash 了
值域变小确实是个问题，不过只要不是百度 QQ 这种用户数的应该没事

@ryd994 #14
前端 hash 可以提高被改密码的成本，前提是校验原密码的时候前端不做 hash

在加上全局 https 的前提下，实在想不出前端 hash 的意义在哪

我这里三个帐号都没有提示要更新密码

@ryd994 可以防止泄露明文密码让客户被撞库不是意义吗´_>`

...很多账号密码我第一次输进去的时候都点了记住账号，完全不记得密码是什么，全靠自动登录。

@jadec0der 前端 hash 比不加密还要不安全

@ryd994 敏感信息 hash 之后再进行网络传输基本是前端行业的一个基础安全知识。

@BearD01001 这句话有出处吗？

@wenzhoou 出处不清楚。不过窃以为敏感数据在进行网络传输前应该进行 hash。

@ryd994 还这个讲过很多次了...大家在讨论问题不是听你讲课,你也不是什么权威大神.很讨厌这种语气

@ryd994 能理解到你这个程度的人不多。很多人还在沉迷于“三遍 md5 ”

@yangyaofei 并不是我讲过很多次了，而是很多地方很多大神讲过很多次了

@BearD01001 我上面讲过了，前端 hash 了，后端不可能不 hash，实际上就是两遍 hash，两遍 hash 比一遍 hash 更不安全。你需要的是 TLS，而不是拍脑袋自创的安全方案。
换个说法，如果这是安全常识，你要不要看看国外各大银行有没有这样做？自己签个 CA，浏览器里忽略强制 hsts，中间人一下自己还是很简单的。

@ryd994 谁说过?在哪儿?不可能一句我记得吧? 看看你给我的回复下面回复别人的吧,还是我上面讲过了,一副我肯定对我是来科普你们都是辣鸡的语气,2333

ryd994 说的对，就该认。别管语气。又不是跟女盆友吵架。如果认语气的话，那你们是不是看着 error 信息不爽就不用调查 bug 了啊。

@yangyaofei 你自己被害妄想吧杠精
（书上 /网上 /大神）已经讲过很多次了
非要理解成
（我）已经讲过很多次了
你自己脑补成什么语气关我屁事

非要问谁说的，给你两个：
https://crackstation.net/hashing-security.htm
https://security.stackexchange.com/questions/110948/password-hashing-on-frontend-or-backend

又不是对你说的，你高潮个什么劲啊？

@leafleave 加密、hash 的安全性之一，就是输出的随机性。理论上完美的加密结果应该和纯随机数据一样。如果和纯随机不一致，不一致的部分就是泄露的信息熵。
值域很重要，如果值域变小了，我完全可以用更短的数据代替它（压缩）。你看以前所谓王小云破解 md5，说的就是把原本 2^n 的碰撞难度，降低到 2^m。
hash 两边，不也是一样么？值域就是难度啊。