数据库用户密码基本算是明文 违规吗？

人生在世，不违本心即可为……但有时候，为了未来，放下吧

所以我们内部所有的密码都是 xxx94sb，xxx 代表你最讨厌的供应商( )

为什么违规呢？
除非自称符合 ISOxxxx 或者 GBxxxx 符合信息安全要求。
否则 base64 或者明文有什么关系呢？

况且 sqlmap 对简单 md5 等可以自动解密。
----
当然，你要拿去试就违法了，别试

国家有法规定密码必须加密存储吗？但是是一个有点安全意识的人都不会这么做，说到底这行的门槛是很低，才导致这种问题出现的。

万一是故意这么存的...

@qilishasha
@no1xsyzy 放心好了 我不会去试的 有感而发 现在这社会个人信息泄露是真的太严重了

没人规定明文储存密码是否违规。
另外，如果网站想保留一份用户的明文密码，正确姿势是 2048 位 RSA 加密。私钥自己收好。

密码加密，只能是（极大程度上）防止被脱裤的时候让坏人知道密码。
如果网站本身想使坏，想要知道用户输入了什么密码不是非常简单？

best practice 是加 salt 再 hash，不过国内这种小项目也没办法要求太多

澳大利亚新立法说，加密内容必须要能自由解密。。。

保存一份用户的明文密码有什么用？一个最缺德的玩法，就是破坏有竞争关系的同类网站。捣乱数据的同时，给对方贴上不安全的标签。
早年国内各大比特币交易平台就有这么干的。互相之间，用自己用户的密码，去碰竞争对手网站，然后把币偷走。
一方盗取了大量比特币，另一方面，沉重打击了竞争对手声誉。给其贴上“不安全” “丢币”的标签。
最后所有平台，提币时都加入了手机验证过程。有个平台慢了一步，损失惨重。最终的结局就是关站跑路。

如果有法条的话拿出来看

明文存储不违法，违法的是明文存储信息泄露了

@yasumoto

如果这个系统属于受到 GDPR 监管的情况时，那真的是违法了，会被罚得很惨。

其实你知道吗，在早年的互联网，都是 id 互相借用的，只是最近的小孩不知道而已，就像我们那代人从书本里错误地理解纳粹德国一样

@yasumoto knuddels 因为明文存储密码被罚了 2 万欧元

想起我前段时间补办了社保卡，拿到的密码函里面清清楚楚写着我原来社保卡的密码 ...
是个常用的密码，赶紧把密码改了...

@WuwuGin 这个还真有的

网络安全法第二十一条规定了重要数据要加密

当然如果你说密码不是重要数据那我就无话可说了

@t6attack
@bluetata
网络安全法规定了运营者有义务加密重要数据，详情看第二十一条

这种只有在爆发泄露的时候 才会出问题

https://www.61minutes.com/

这让我想起了 前段时间 我备案的事情!

起因: 云服务从 阿里云 迁到 腾讯云
但是域名是阿里云的!
所以得重新备案!

经过: gx 部会给我发个短信,然后去 gx 部网去验证啥的,然后我不知道这回事,收到了短信也不管,开始是腾讯云员工去试,后来发现不行后,打电话给我, 然后报出了我的 腾讯云的明文密码 说这个不是 gx 部备案密码,不给通过...

恩!这个客服直接报出了我的密码.. 另外 这个客服 不知道 $ # 怎么读.....

这让我想起来前几天那个 base64 在线编码工具被一公司要求下架的帖

@ylsc633 #21 这个震惊了，@tencentcloud

根据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。
------------
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

百分百忘记密码找回，不亏