数据库被脱库，为什么密码会泄露？

华住的密码是处理过得，但是防不了别人猜呀

之前 csdn 密码泄露的时候，我就下定决心所有地方密码不要一样，然后写了个工具自己生成密码，但是很快就变懒了，虽然很多地方还是不一样，虽然尽量开了二次验证，但是还是有一些密码复用了。。现在就是尽量做到按照类别复用不同的密码吧，以及新注册的就尽量用生成的密码浏览器记住了。

@loveour #22 只有 2 次验证是最靠谱的

@loveour 2 次验证最安全。但是并不是所有网站都有二次验证功能。为了避免密码重复的问题，我是记住一套公式，然后根据网站的域名来变化，这样每个网站密码都不一样，而我也能记住所有的密码..希望有帮助

@loveour 1Password 你值得拥有，每个应用 /网站 不同随机高强度密码不是梦

很多都是明文的 md5 都没有
因为他们也用得到你的密码

@loveour 密码只要足够长就可以，不需要复杂。

@q397064399 2 次验证你得看是啥验证，手机短信作为二次验证，一个手机号对应的账号多了，比密码还不安全。

只要我的密码足够随机，别人就猜不到我。哈哈哈哈

不过在其他数据都有的情况下，密码本身就不重要了。

明文存储的，还不少。何况这些非互联网非技术性企业。

https://www.046569.com/2018/05/26/one-line-of-code-contains-two-vulnerabilities.html

前一阵子写的博客,应该可以解答 LZ 的疑惑.
简单的说,没有正确编写登录验证逻辑.

有些明文，有些没盐，比较简单的加密直接字典去撞，大部分是弱密码

明文
没盐
有等于没的盐

有些行业可能加盐都没有成为普遍认识，我收到过某家国内航空公司“密码系统已升级为 8 位，请在旧密码前加 11 登录”的邮件

理想做法是一个密码一个盐，实际上用同一个盐很常见。理想做法是用强健的哈希算法，实际上随手套两三层 md5 就算解决问题很常见。
有时候可能是觉得这业务不重要所以安全措施随便做做就行，没想到后来业务发展太好了再想改进就很难。

推荐你看下全宇宙最屌的常用加密算法反查网站：cmd5.com
一般不是特别复杂的密码，一查就有

除了脱裤，还有撞库什么的。其实类似 MD5 这类加密，只要密码比较简单，就有可能得到明文，如果数据库用户足够多，就有了足够的明文账户+密码，这时就可以尝试去别的网站批量登陆，人总是怕麻烦的，总会有人会使用相同的账户和密码。这样就导致了其他第三方的网站，即使没有被入侵，也会导致用户被盗取的情况。

这就是传统行业老找外包,不关注自己技术团队建设的恶果