最近两年来,不少第三方应用网站以明文方式存储用户的登录信息,当网站遭黑客攻击后,用户的登录信息被人窃取,而海量的网站让许多人使用同样的用户名和密码,对用户造成了严重的危害。
通过使用PwdHash可以很好地解决这个问题,PwdHash是一款将网站和密码哈希后生成复杂密码的一款软件,即使使用同一个密码,不同的网站URI不同,生成的密码也会不同,由于使用的是单向散列函数,即便黑客获取了某用户在某个网站的登录密码后,也无法通过计算得到其它网站的登录密码。
PwdHash的官网是:www.pwdhash.com,最新版是0.8,它也提供了Firefox、Chrome、Opera和IE的插件,在浏览器中安装插件后,每次在网页上登录时,只要按下“F2”或在密码输入框先输入“@@”,然后再输入密码,当光标离开密码输入框后,插件会自动将密码通过PwdHash算法换成散列后的密码,这样用户就可以很方便的使用,只需要在以往输入密码前按下“F2”即可。
由于所输入的密码对于插件来说是透明的,所以插件的可信性与安全性非常重要。大家在安装插件以前,必须要从官方的网站下载。如果实在不相信别人做的插件,可以自己开发一个。我从网上找了找,除了Stanford PwdHash外,只在Chrome-pwdhash和PwdHashGui找到源码,没有C语言的源码,而Stanford PwdHash提供的IE插件是老板的,与现在0.8版生成的密码不一样,于是通过Stanford PwdHash提供的IE插件的源码(0.6版)、JS脚本(0.8版),自己做了一个VC版的PwdHash,在这里提供源码下载。功能与PwdHashGui一样,生成的哈希密码保存在粘贴版中。
Release下载:PwdHash.zip MD5: C281758B2F33A05D9AE37F0EFCDC9424
源码下载:PwdHashSrc.zip MD5: B80C4036108BFA755C818A9FAD5D1545
目前此版本支持的密码长度不能超过22个字符,原因与base64 HMAC算法有关,Stanford PwdHash的也是一样,有办法解决的朋友欢迎一块讨论~