很多系统都是将密码进行一次 MD5 或 SHA1 Hash后存入数据库中。这样的密码抵挡不住字典攻击。所谓字典攻击，就是将常用密码进行Hash后做成一个字典，破解的时候，只需要查字典就能知道对应的明文密码。

为了抵御字典攻击，推荐的做法是使用 密码 + 盐（一串随机数） 再Hash的方式。每个密码对应一个不同的随机数。这个方法，实际上是将密码人为地拓展了N位，导致密码长度大增，使得攻击者无法构造这么大的一个字典。

使用 密码 + 随机串 的方式保存的密码就一定不能破解吗？设想这种方式的数据库表中一定有两列，一列保存 随机串，另一列保存 密码 + 随机串 的Hash值。如果攻击者拿到这个数据库，会怎样做呢？他可以对每一个密码构建一个字典，然后再查字典破解。实际上，要破解一个密码所构造的字典并不很大，跟不用随机串是一样的！只不过这字典是一次性字典。

破解每一个密码都要构造一个字典，虽然较慢，但并不是不可能。

因此，最终的解决方案还是回归到限制密码最小长度和使用复杂密码上来。

关于数据库中密码的存储