从这次小米被脱裤来看密码安全

12位随机密码是王道。

小米论坛不像是discuz吧。。。应该没加盐

是盐不够长，6位的盐很好破解的

@kinghenry
自从用1Password之后，密码都12位高强度的了。

@DreaMQ
是dz的吧，有加盐处理的。

@wy315700
盐的长度不够是一点，另外一点，直接password+salt也是一个缺陷吧，为啥不把按一定规则打乱，再与password组合呢。

也不该用md5，太弱了

@wy315700 不对，盐的长度不影响安全性。加盐密码都是单独穷举的，一个结果只能对应一个盐和密码的组合。由于破解加盐密码必须要知道盐是什么，所以在已知盐的情况下，盐的长度不影响破解难度。加盐在一定程度上增加了破解成本（通用彩虹表不适用了，需要单独计算），但弱密码还是很容易暴露破解到。

其实网站还算好了，自家wifi的密码和安全才是王道...

@yibin001 是md5(md5($password).$salt),GPU拿弱密码字典破起来很快。

@yibin001
只要有规则,就可以破解.
当然可以处理加密后的密码只保留一部分在服务器,这样既可以校验也可以保证密码泄漏后不被反向出真实的密码

@sneezry
那如果把盐值打散，再与密码组合，这样会不会进一步增加破解成本？

@wywh
欧，对的，是这样组合的。

不要再想象什么强密码了,任何一次密码泄露都是有猪一样的队友,很少是自己主动泄露的例子.

@yibin001 那基本是无解的。不知道盐和密码怎么组合的光凭猜那是天方夜谭。不过小米论坛用的discuz加盐算法，呵呵。

早上在说这件事的时候，我还在想，1Password这样的密码文件存在本地的，会不会也有中招的可能。
要知道1Password不光有用户名和密码，还有登录页的url。

@sneezry
另外dz的加盐，是md5(md5($password).$salt)，为啥不md5($password.$salt)这样来处理？

@yibin001 可以提高安全性啊，md5($pwd)不就是一个32位的字母数字混合字符串吗，这要比一般的密码明码更难破解嘛

用hash_password存吧

http://www.cmd5.com
这个网址的解密是如何实现的呢

@codingpp
巨大的彩虹表？