你有这样的习惯吗?无论你在任何网站或app上注册账号,你总是用同一个手机号和密码注册账号。一旦账号和密码泄露,别人就可以登录你注册过的所有网站和app。
假设是在合法的网站和APP上,网站和APP的管理员能看到你的账号和密码吗?
在网站和APP后台的用户管理页面,管理员可以看到你的账号,和上千个账号一起,形成一个可以查询用户信息的列表。您还可以通过列表单独编辑用户信息。
那么,管理员能看到用户的密码吗?
然而,他看不到。他的权限不够吗?我指的是最高权限的管理员。
只要是合法的网站和APP,用户的密码都会被算法加密。管理员在后台进入用户个人信息编辑页面,看到的密码会被一个空白输入框、一个黑点或者一个黑米数字代替。
管理员虽然看不到明文的密码,但是可以绕过手机验证和邮件验证,直接更换新密码或者重置密码给用户。当然,这种行为需要用户的授权。比如用户忘记密码,没有手机或邮件验证的渠道。在这种情况下,只要有其他途径证明账号是自己的,他就可以要求管理员帮他修改新密码。
数据库作为网站和APP储存信息的地方,数据库的管理员能看到用户的密码吗?
答案是,你可以看到。不过,不用担心,他看到的是算法加密的明文密码。
以mysql数据库为例,用户在数据库中的密码是用md5算法加密的字母和数字组合的新明文密码,比用户原来设置的密码长很多。但是,md5算法加密的密码很难还原成原来的密码。简单来说,你设置的密码越复杂,被算法加密后就越难恢复。比如123456、六个八等密码,经过md5算法加密后,可以很容易的恢复。字母和数字的复杂组合很难恢复。所以数据库管理员不可能轻易知道你的密码是什么。
另外,任何能管理数据库的人都知道泄露用户隐私的法律后果,都会和公司签订保密协议。只要他不偏爱一副银手镯、一间小黑屋和免费的饭菜,他就不敢泄露数据库的内容。
