忘记密码后为什么只能进行重置密码

一个很有意思的软件设计问题，当用户忘记了自己账户密码的时候，通常的方案都是让你重置密码，怎么就没哪家 APP 会直接把原来的密码告诉你。

目前各家 APP 的做法对于忘记密码后的处理方式基本都是保持一致的，总结起来就是下面几种：

• 通过绑定的手机接收验证码，然后重置密码。

• 通过绑定的邮箱接收重置密码的连接，点击链接进去后重置密码。

• 答对密保问题后，直接给你发送一个随机的密码。

就是没有直接告诉你原密码的方式，这个问题可以从下面几个角度去解释。

1. 密码通常使用加密进行存储

一个安全的系统，它的用户密码必然不能以明文来存储密码，而必须使用密文进行存储。明文存储密码不能防止内部的员工进行传播，再一个如果数据库不小心被拖了，用户的信息就直接全部泄露出去了。

关于明文存储密码这点上，CSDN 应该是最有发言权的一家了。 在 2011 年直接 600万网站用户的明文密码就给人爬出来了，这里需要注意的是 明文密码。

11年那会我接触的一些 PHP 的论坛，很多也是明文进行保存密码的，不过这些论坛的人数估计就几千到几万个，远远没有 CSDN 这么多用户量。而且 CSDN 在作为一个技术类的网站，在 2011 年还使用明文进行保存密码，这操作实在是令人看不懂。

2. 密码常用的加密算法

在软件开发中，密码通常会使用哈希算法来进行来进行加密，然后进行存储。哈希算法有几个特点：

• 从哈希值不能反推出原始明文密码。
• 密码不同的时候，计算出来的哈希值通常是不一样的。
• 相同的密码计算出来的哈希值总是一样的。

通过上面几个特点，对密码使用哈希算法进行加密，是比较合适的一种方式。比如使用 MD5 这种哈希算法来加密明文密码 password123 ，进行哈希算法后的值为 adb1534d61a07f72b0f4a8bc741b752d 。把这一串哈希值存到数据库中，当做用户的密码存起来。这样就可以达到到一个加密的作用，理论上只有用户自己才知道正确的明文密码。

即使系统因为某些漏洞导致数据库的数据泄露了，别人也无法拿到原始密码。 不过这样也有一个漏洞，通常的系统的密码都是 8 - 16 位的大小写字母+数字+几个常用的符号，那么所有可能的密码都可以一个个枚举出来。对这些明文密码使用标准的哈希算法进行计算，然后将这些哈希值整理到一个列表中。 将数据库中的密文密码去这个列表中进行匹配，如果匹配上，就说明对应的明文密码被破解出来了。

比如上面的明文密码在数据库中存储的值为 adb1534d61a07f72b0f4a8bc741b752d ， 那么通过这个列表去匹配，就可以反查出明文密码是 password123。

上面这种方式一般叫【彩虹表】，彩虹表（Rainbow Table）就是是一种提前计算好的哈希值列表，专门用于逆向破解哈希函数。它通过保存大量可能的明文密码及其对应的哈希值，让攻击者可以从这个列表中快速查找到对应的明文密码。因为不用对每个密码进行实时哈希计算，这样的效率会特别高。

抵御彩虹表攻击的比较常见的方法，就是在计算哈希值前给每个用户的密码增加一个随机生成的字符串，也称为【盐值】。因为有了这个随机的字符串，这样即使两个相同的密码，计算出来的哈希值也会不同。从一定程度上，可以更加好的保护用户的密码不被破解。

当然更好的办法是使用一些更加强的哈希算法，比如 bcrypt。

3. 密码加密后的认证流程

• 当用户创建账户时，系统将用户输入的明文密码通过哈希算法转换成哈希值。
• 将哈希值存储到数据库中，而不是存储明文密码。
• 用户登录的时候，将用户输入的密码通过同样的哈希算法转换成哈希值，然后将这个哈希值跟数据库中存储的哈希值进行比较，如果比较是一样的，那么就说明密码正确，用户登录成功。否则登录就失败。

4. 解释问题

回到最开始的问题【忘记密码后为什么只能进行重置密码？】

当你忘记密码的时候，系统并不知道你的原始密码是什么。因为系统数据库中存储的是密文密码，所以只能引导你进行重置密码。