信息安全工程師案例分析真題考點：常見的用戶密碼加密方式

1、明文保存：這種是最簡單的保存方式，也是最不安全的方式。

2、對稱加密：比如3DES、AES等算法。獲取到密鑰后可以通過解密來還原出原始密碼，密鑰很可能也會泄露。

3、單向HASH：使用MD5、SHA1等。實現(xiàn)比較簡單，無法通過計算還原出原始密碼，但隨著彩虹表技術(shù)的興起，可以建立彩虹表進行查表破解。

4、HASH加鹽：在一定程度上增加破解難度，一旦“鹽”泄露，根據(jù)“鹽”重新建立彩虹表可以進行破解，對于多次HASH，也只是增加了破解的時間，并沒有本質(zhì)上的提升。

5、PBKDF2：該算法原理大致相當(dāng)于在HASH算法基礎(chǔ)上增加隨機鹽，并進行多次HASH運算，使得建表和破解的難度都大幅增加。

6、bcrypt、scrypt等：這兩種算法也可以有效抵御彩虹表，使用這兩種算法時也需要指定相應(yīng)的參數(shù)，使破解難度增加。

相關(guān)真題：2021年信息安全工程師下午案例分析真題，第一大題，問題2第(4)題：【王工對數(shù)據(jù)庫中保存口令的數(shù)據(jù)表進行檢查的過程中，發(fā)現(xiàn)口令為明文保存，遂給出整改建議，建議李工對源碼進行修改，以加強口令的安全防護，降低敏感信息泄露風(fēng)險。下而給出四種在數(shù)據(jù)庫中保存口令信息的方法，李工在安全實踐中應(yīng)釆用哪一種方法?】