國內真的有規定說密碼必須明文儲存嗎？

01-19

最近網易被脫褲事件鬧的，好多人在說這個，由於某眾所周知原因，國內不允許對密碼庫加密。
不過我看著有點懷疑，其一，烏雲那邊的漏洞報告顯示被拖走的庫是MD5的。應該只是沒有加鹽。其二，這個規定看起來過於腦殘，那個誰難道真有臉這樣要求么。其三，我雖然接觸不多，但是從沒見過這類規定。
所以，想問問從業人員事實上有沒有這類規定。

樓上的回答好多了，我也不再重複了。另外，我覺得網易的出身就是做郵件系統的授權的，自己不太可能不注重密碼安全之類的，網易郵箱的質量也算是業界排在前列。不過，此事有可能是內鬼，僅僅是個人猜測。

沒有, 瞎扯淡, 人行現在的文件已經緊跟潮流, 要推sha2來做密鑰的摘要了.

為啥是瞎扯淡？因為很多記錄是不加密的, 國家要, 直接來拿就行了, 這點國內外同理, 區別只是在於手續的難易程度.

總結下, 就是多數密碼(此處應該為口令)的用途是鑒別用戶是否是合法用戶, 而不是用作將這些內容加解密的密鑰.

沒有。國家要你信息並不需要你密碼。

黑鍋請自己背有關部門不是垃圾桶想扔就能扔

這種陰謀論不要太弱智好嗎。

為毛要明文存，想過去應該就是有些人說的方便【相關部門】查詢。可是查詢也不是查你的帳號是多少，是查你帳號的使用情況啊，和用戶表有毛的關係。

沒有規定要求明文存，相反在很多的標準、規範性文件中要求密碼之類的要非明文存儲，且傳輸加密。樓主可以查查相關的信息安全類標準以及銀行、證券、工控行業的信息系統保護規範、指南。

另外一個原因很多答主都答了，為了監聽真沒必要拿你一個用戶密碼。。。又不是要偷你錢。

這是銀聯要求的數據安全規範~至少在銀行領域國家沒有這種規定。

要是這樣那我隨便寫個垃圾網站發布一下，用md5存密碼，我是要被請去喝茶還是坐牢？

你們說的都是pin和口令啊(つд?)

PKI體系里加密密鑰確實需要政府備份吧，雙證書體系什麼的…

國家要你密碼幹什麼，想看你郵箱內容還要親自上網站登陸？要看你聊天記錄還要一個個登QQ？直接看的好吧。

流量只要走的國內運營商的線路，對於國家來說所有信息都是透明的。

要你明文密碼幹啥，真要查某賬號的相關信息難道還通過網頁/客戶端登錄再看？直接後台查就好了，很多時候，你的賬號密碼只是一張表裡的一行數據，和其他表一樣，對管理員來說都能看

稜鏡的事情，你們也沒出來噴美國爸爸呀