这个不是从服务器获取最新人数吗，你确定是你刷的？

LZ没搞明白邮箱名称和帐号名称的区别

@Panic 同感，大家太相信所谓的隐私保护能力了。

rm -rf /

很多情况下，不是能不能抓住，而是值不值得去抓。

还包括公司。

这种记录一般没人看
当初我们学校全校断网，后来发现是记录服务器硬盘满了，然后都删了。

查案的时候需要用到。

比如说你发了一些敏感信息，比如XX大法什么的，因为是学校公用IP，就得用记录来找人。


然后电信什么的，大家也别想太安全了，电信里有一个记录的，可以记录这个IP在哪个时间段是谁在用。

但是我想，如果能让人动用这些数据来追踪一个人了。那么这个人不管上不上网都不安全了。

这是上峰要求的

所有提供公共网络服务的 必须保留三个月以上的访问记录

包括但不限于：学校，酒店，网吧，咖啡店，小区

27美元买的1P，

个人认为，保存的密码完全超过这个价值了

都说了，撞库的，
就是有人要乱猜测。

@LukeXuan

sha2家族还可以用

sha256 sha512之类的还都可以用。

@LukeXuan 不管密码如何安全，MD5都不安全。

其实这里有一个误区，以为要找到相同的密码才可以，但是其实不然

其实需要做的是，找到和你原来密码md5值一样的密码，然后我就可以用那个密码进行登录了。

而MD5和SHA1的碰撞是相当容易的。




@nealfeng 1P你值得拥有，30美元而已，这么多密码绝对值这个价格。

撞库的吧，，，

@LukeXuan
比如使用 md5,sha1

比如没有salt，
比如使用 password + salt的简单方法


至于非对称加密，有一种挑战响应式认证标准

客户端产生私钥，服务器端存储公钥

认证的时候，服务器端发送一个随机字符串给客户端

客户端使用私钥签名后发回给服务器端。

服务器验证签名。

签名验证通过就算是通过认证了。



支付宝的数字签名系统就是这么工作的。
银行的u盾也都是这么工作的。

@LukeXuan 大部分不正常使用的hash和明文没本质区别的
真的

要真的安全性，上非对称加密才是真理

@Earthman
因为hash不是加密，hash只是一个单向映射函数。

我说的其实是单纯多次hash不能增加安全性，很多密码学教材里都有写，但是没写原因，我想了一下

b = hash(a)
c = hash(hash(a))

b和c的安全性是一样的

如果hash不可逆向，那么唯一的办法就是暴力搜索a，只不过一个要做一次运算，一个要做两次运算。

如果hash可逆，那么 a可以推出b，同理b也可以推出c



如果要用salt，建议采用安全标准里的hmac，而不是大部分系统采用的 hash(pass + salt)的方法

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

@LukeXuan 这么做 和你在12306设置一个密码，在alipay设置另一个密码 有什么区别呢。

@LukeXuan 你这个本质上和一个长密码效果是一样的，只不过这个长密码是你用hash计算出来的，
破解的时候，我不需要破解pass和salt，而只需要知道你本地hash的结果就可以登录到服务器了。

@fo2w 国内安全上不去很大一部分是媒体原因，一点小事就炒得比天还高。
都没人证实一下就到处宣扬。

这个很明显是撞库的。

@LukeXuan 我的意思是，你这种方法大家都在用了，是防止不了脱裤的。


@Layne 这种方法本质上不能增加安全性，安全性还是由原始的密码决定，只不过解密的时候多了个花密的解密而已，我记得密码学理论里有这么一句，多次hash不能增加安全性的。