数据库用户密码基本算是明文 违规吗？

人生在世，不违本心即可为……但有时候，为了未来，放下吧

所以我们内部所有的密码都是 xxx94sb，xxx 代表你最讨厌的供应商✌(̿▀̿ ̿Ĺ̯̿̿▀̿ ̿)✌

为什么违规呢？
除非自称符合 ISOxxxx 或者 GBxxxx 符合信息安全要求。
否则 base64 或者明文有什么关系呢？

况且 sqlmap 对简单 md5 等可以自动解密。
----
当然，你要拿去试就违法了，别试

国家有法规定密码必须加密存储吗？但是是一个有点安全意识的人都不会这么做，说到底这行的门槛是很低，才导致这种问题出现的。

万一是故意这么存的...

@qilishasha
@no1xsyzy 放心好了 我不会去试的 有感而发 现在这社会个人信息泄露是真的太严重了

没人规定明文储存密码是否违规。
另外，如果网站想保留一份用户的明文密码，正确姿势是 2048 位 RSA 加密。私钥自己收好。

密码加密，只能是（极大程度上）防止被脱裤的时候让坏人知道密码。
如果网站本身想使坏，想要知道用户输入了什么密码不是非常简单？

best practice 是加 salt 再 hash，不过国内这种小项目也没办法要求太多

澳大利亚新立法说，加密内容必须要能自由解密。。。

保存一份用户的明文密码有什么用？一个最缺德的玩法，就是破坏有竞争关系的同类网站。捣乱数据的同时，给对方贴上不安全的标签。
早年国内各大比特币交易平台就有这么干的。互相之间，用自己用户的密码，去碰竞争对手网站，然后把币偷走。
一方盗取了大量比特币，另一方面，沉重打击了竞争对手声誉。给其贴上“不安全” “丢币”的标签。
最后所有平台，提币时都加入了手机验证过程。有个平台慢了一步，损失惨重。最终的结局就是关站跑路。

如果有法条的话拿出来看

明文存储不违法，违法的是明文存储信息泄露了

@yasumoto

如果这个系统属于受到 GDPR 监管的情况时，那真的是违法了，会被罚得很惨。

其实你知道吗，在早年的互联网，都是 id 互相借用的，只是最近的小孩不知道而已，就像我们那代人从书本里错误地理解纳粹德国一样

@yasumoto knuddels 因为明文存储密码被罚了 2 万欧元

想起我前段时间补办了社保卡，拿到的密码函里面清清楚楚写着我原来社保卡的密码 ...
是个常用的密码，赶紧把密码改了...

@WuwuGin 这个还真有的

网络安全法第二十一条规定了重要数据要加密

当然如果你说密码不是重要数据那我就无话可说了

@t6attack
@bluetata
网络安全法规定了运营者有义务加密重要数据，详情看第二十一条

这种只有在爆发泄露的时候 才会出问题
————————————————————————————————————————————————————
https://www.61minutes.com/