@LukeXuan 不管密码如何安全，MD5都不安全。

其实这里有一个误区，以为要找到相同的密码才可以，但是其实不然

其实需要做的是，找到和你原来密码md5值一样的密码，然后我就可以用那个密码进行登录了。

而MD5和SHA1的碰撞是相当容易的。




@nealfeng 1P你值得拥有，30美元而已，这么多密码绝对值这个价格。

撞库的吧，，，

@LukeXuan
比如使用 md5,sha1

比如没有salt，
比如使用 password + salt的简单方法


至于非对称加密，有一种挑战响应式认证标准

客户端产生私钥，服务器端存储公钥

认证的时候，服务器端发送一个随机字符串给客户端

客户端使用私钥签名后发回给服务器端。

服务器验证签名。

签名验证通过就算是通过认证了。



支付宝的数字签名系统就是这么工作的。
银行的u盾也都是这么工作的。

@LukeXuan 大部分不正常使用的hash和明文没本质区别的
真的

要真的安全性，上非对称加密才是真理

@Earthman
因为hash不是加密，hash只是一个单向映射函数。

我说的其实是单纯多次hash不能增加安全性，很多密码学教材里都有写，但是没写原因，我想了一下

b = hash(a)
c = hash(hash(a))

b和c的安全性是一样的

如果hash不可逆向，那么唯一的办法就是暴力搜索a，只不过一个要做一次运算，一个要做两次运算。

如果hash可逆，那么 a可以推出b，同理b也可以推出c



如果要用salt，建议采用安全标准里的hmac，而不是大部分系统采用的 hash(pass + salt)的方法

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

@LukeXuan 这么做 和你在12306设置一个密码，在alipay设置另一个密码 有什么区别呢。

@LukeXuan 你这个本质上和一个长密码效果是一样的，只不过这个长密码是你用hash计算出来的，
破解的时候，我不需要破解pass和salt，而只需要知道你本地hash的结果就可以登录到服务器了。

@fo2w 国内安全上不去很大一部分是媒体原因，一点小事就炒得比天还高。
都没人证实一下就到处宣扬。

这个很明显是撞库的。

@LukeXuan 我的意思是，你这种方法大家都在用了，是防止不了脱裤的。


@Layne 这种方法本质上不能增加安全性，安全性还是由原始的密码决定，只不过解密的时候多了个花密的解密而已，我记得密码学理论里有这么一句，多次hash不能增加安全性的。

现在的问题不在这里，你密码弱的话，salt也没用。

撞库撞出来的吧

@Jack 上海备案不需要关站，2天就解决了

@icedx 全世界都有啊

三星的S4就有两个版本

WCDMA的用的三星芯片

LTE的用的高通





@ssenkrad 制式是技术问题，法律管不着，，，你总不能法律规定让Mac支持Windows软件吧。

@icedx 这个不叫定制

也不是运营商可以解决的

更不是中国运营商发明的
运营商定制机主要就是内置一些软件和服务。

美国的运营商都是加锁的，加锁什么意思呢，就是同样的制式，比如都是GSM的，你也不能换运营商。
iphone越狱合法，但是解锁是不合法的。

国内都是不加锁的，你拿移动定制的GSM手机去联通照样是可以用的，只不过可能APN要自己修改而已。


一款手机出厂的时候就决定了支持的制式
制式由基带决定。

苹果比较牛，ip 5s时代做到了全网通。
4s就不行，CDMA制式和其他的制式手机是分开卖的。
所以iphone以前有个C版

其他小厂就不行了，由于专利或技术受限，只能选择一部分支持

大家都知道 如果要支持CDMA就要给高通整部手机售价的5%的专利费



最后，我打个比方吧，同样的x86 CPU， 你把MAC的软件拿到Windows上就没法运行，你能说这个是因为定制造成的吗。

@icedx 3G时代 三大运营商各自拿到一张牌照啊

TD-SCDMA
WCDMA
CDMA2000

三个制式之间相互不会兼容啊，这不是锁的问题

你拿一个GSM手机去插电信卡肯定是不能用的

拿一个CDMA手机插移动联通卡肯定是不能用的

定制机不妨碍你用别的网的啊

除非是制式不支持

目测LZ的隐私已经被各大软件泄露了