有一個人用 google search 來找到一個入侵駭客設定的 md5sum  hash 的原始密碼。其實有一個網站可以查詢已知的 md5sum 

不過這也顯示出這個網站的問題。為什麼它的 password 沒有用 salt。所謂 salt 是，user 在設定密碼時，system 產生另外一個 random string(salt)。在 datbase 存的是與 salt + passwd 產的 md5sum 及 salt。當要驗證密碼時就把 user 輸入的 string 加上使用者的 salt，產生 md5sum 來比對。理論上用 salt 可以大幅度讓密碼更難破解，相同的密碼除非剛好salt 相同，最後存在 database 上的內容是不一樣的。

Salt 這個概念 UNIX 很早以前就開始用了。man crypt 就可以看到。Windows 不知道現在有沒有，幾年前還是沒有用 salt。 

幾年前，當使用者忘記密碼時，國內某大攝影網站竟然 E-mail寄回來的是原來的密碼，顯然就是原封不動把密碼存在 database，太可怕了。

當然，如果驗證密碼的程式被偷改，被攔截紀錄，那都沒用。所以，最好 .php 等原始程式最好 owner 不要用 apache，以避免被入侵更改驗證程式的可能。

感同身受，我就收過明文顯示使用者密碼的確認信，實在是很可怕！！

萬一這封信件在寄發的過程中，被有心人士攔截，或是寄到別人的信箱，後果誰要負責？

確認信密碼是 plaintext 還好，phpbb 好像就是 ?  這不代表存在 database 是 plaintext

所以比較重要的密碼與一般的密碼最好要分開。

救回/破解 Windows 的登入密碼

Windows 的某些 e-mail 設定的密碼忘了怎麼辦 ?

有需要的看這邊

pchome 我覺得很爛，訂單 & 傳回的 E-mail 上都不寫郵寄的住址，沒辦法再次確認。