从这次小米被脱裤来看密码安全

@yibin001 恩，它上面有说明了。。。

@yibin001 不会，加密方法不会提高破解难度（现代密码学角度）

那flask这次的处理也不够安全了？

fix：
Flask库这次的密码处理方式也不够安全？我是否要改改再用呢？

其实起码应该掺杂点其他信息，比如注册时间，比如用户名，比如某个固定字符串……
简单加盐的话被脱裤还是比较容易破解

不可能保证100%安全的，我现在都是佢密码前几位，然后加盐组合，来生成hash

@DreaMQ 小米论坛就是discuz的

@binux bcrypt呢

国内一般论坛的密码都是123456，谁爱要送给你好了，不用谢

@rankjie 说的是方法本事作为密钥这件事

@sneezry 哦对，想起来了。
如果密码够弱，不管怎么加密都是没有用的。


@yibin001 dz好像是本地把密码MD5以后再发给服务器端的，虽然这么做一点意义都没有。

@loading 弱密码怎么做都没用。

@wy315700
现很多网站都是浏览器端把密码md5以后丢到服务器端的，中间被劫持到后就相当于裸了，数据库里加盐也没用。

每个站点随机强密码没法记忆啊，软件记忆又太不方便。

@coosir +1
不同用户不同salt

其实，对于小米800W用户泄露不奇怪。 思路是这样的:小米2012年8月前论坛数据库和小米的某站点放在一个服务器上，一不小心，拿下了这个某站点，更无语的是服务器某处存放了root密码，连上数据库发现有老论坛数据库，查询论坛里的管理，然后破解登陆现在的论坛，然后Discuz如何后台拿shell就不说了 。——winds
http://t.qq.com/p/t/404340088534846

KeePass + TrueCrypt
1.帐号同一15位随机密码
2.服务器使用密匙对，关闭密码

@wormcy
salt不同是必然的~

之前用过Symfony框架，里面有个用户管理的模块，密码好像是sha1(md5(email + password) + salt)，salt是当前时间戳+4位随机数字，这样不知道是不是安全

楼上1password是不是在炫富，屌丝用lastpass

我也是1passe 另外还有用密码管家。。。因为密码管家满了，又不想充钱。。屌丝啊