你有没有想过,每次打开手机APP输入密码时,这个密码到底安不安全?比如你在某购物APP上登录,输入“123456”这种常见密码,会不会被人轻轻松松就偷走?其实,正规APP在设计时早就考虑到了这个问题——你的登录密码,在传输和存储过程中基本都是加密的。
密码不是明文传的
当你在APP里输入密码并点击登录时,这串字符并不会以“明文”形式直接发给服务器。所谓明文,就是像写纸条一样,“密码:123456”直接发送,这种做法极不安全。现在的主流APP都会在客户端先对密码进行加密处理,再通过安全通道传输。
最常见的做法是使用HTTPS协议。它会在网络传输层对所有数据加密,即使有人在中间截获了数据包,看到的也是一堆乱码。而且,很多APP还会在应用层再加一道加密,比如用AES或RSA算法对密码字段单独处理。
服务器那边也不是存明文
你以为密码到了服务器就解密成原文了?并不是。正规平台根本不会在数据库里存你的原始密码。取而代之的是,服务器会对密码进行哈希加密,通常是SHA-256这类不可逆算法,再存进数据库。
举个例子,你设置的密码“mypassword”,经过哈希后可能变成这样:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8加盐让破解更难
更进一步,很多平台还会给哈希过程“加盐”(salt)。也就是说,在加密前先给密码拼接一段随机字符串。比如你的密码是“123456”,系统自动加上“x9k2mz”变成“123456x9k2mz”再哈希。每个用户的盐值不同,就算两个人密码一样,哈希结果也完全不同。
这种设计能有效防止“彩虹表攻击”——黑客提前算好常见密码的哈希值表,用来快速反查。加盐之后,这张表就失效了。
但也不是所有APP都靠谱
上面说的是正规大厂的做法。可一些小众APP、来路不明的应用,未必遵守这些安全规范。有的可能连HTTPS都不用,密码在网络中裸奔;有的甚至真把明文密码记在数据库里。这类APP一旦出事,用户信息立刻暴露。
所以,别随便在不知名的APP里用和微信、支付宝一样的密码。最好一个平台一个密码,或者用密码管理器生成独立密码。
你自己也能做点防护
即便APP做了加密,也不能完全高枕无忧。公共Wi-Fi下尽量别登录重要账户,防止中间人攻击。另外,开启双重验证(2FA)能大幅提升安全性。就算密码泄露,对方没有你的手机验证码也登不进去。
还有个小建议:别用“生日+手机号后六位”当密码。这种组合就算被加密了,黑客用暴力破解也很快能撞出来。复杂一点的密码,哪怕只是多加个符号,安全性都能上一个台阶。