信息安全工程師案例分析真題考點(diǎn)：常見的用戶密碼加密方式

1、明文保存：這種是最簡(jiǎn)單的保存方式，也是最不安全的方式。

2、對(duì)稱加密：比如3DES、AES等算法。獲取到密鑰后可以通過解密來還原出原始密碼，密鑰很可能也會(huì)泄露。

3、單向HASH：使用MD5、SHA1等。實(shí)現(xiàn)比較簡(jiǎn)單，無法通過計(jì)算還原出原始密碼，但隨著彩虹表技術(shù)的興起，可以建立彩虹表進(jìn)行查表破解。

4、HASH加鹽：在一定程度上增加破解難度，一旦“鹽”泄露，根據(jù)“鹽”重新建立彩虹表可以進(jìn)行破解，對(duì)于多次HASH，也只是增加了破解的時(shí)間，并沒有本質(zhì)上的提升。

5、PBKDF2：該算法原理大致相當(dāng)于在HASH算法基礎(chǔ)上增加隨機(jī)鹽，并進(jìn)行多次HASH運(yùn)算，使得建表和破解的難度都大幅增加。

6、bcrypt、scrypt等：這兩種算法也可以有效抵御彩虹表，使用這兩種算法時(shí)也需要指定相應(yīng)的參數(shù)，使破解難度增加。

相關(guān)真題：2021年信息安全工程師下午案例分析真題，第一大題，問題2第(4)題：【王工對(duì)數(shù)據(jù)庫中保存口令的數(shù)據(jù)表進(jìn)行檢查的過程中，發(fā)現(xiàn)口令為明文保存，遂給出整改建議，建議李工對(duì)源碼進(jìn)行修改，以加強(qiáng)口令的安全防護(hù)，降低敏感信息泄露風(fēng)險(xiǎn)。下而給出四種在數(shù)據(jù)庫中保存口令信息的方法，李工在安全實(shí)踐中應(yīng)釆用哪一種方法?】