國內哪些網站的用戶資料庫安全性做的最好？他們都是怎麼做的？

01-19

安全和用戶體驗是一對矛盾的雙方，用戶體驗差的地方很多，呵呵，那些讓你覺得不那麼方便的地方或許就是安全級別較高的地方。
最高的一定是涉及金融的。它提供的安全策略也值得借鑒，例如密碼強度，取回方法，身份認證等。從技術角度來講，則是它的加密方式。

順便一提，大學時我們就做過一個小課題，對QQ信息傳輸的方式進行了解析，發現它用的是RAS加密傳輸，國際上認為安全的演算法建議加密16輪或32輪，但是QQ為了速度只用了8輪，簡言之就是指數降低了破解的時間成本，加上js加密的缺陷，傳輸的內容甚至登錄密碼都有可能被截獲，QQ一定不會那麼忽視賬戶安全，但是也絕不夠安全——作為TM也沒辦法，只要不爆醜聞估計不會作太大改動。

可能跑遠了，我想說一句，微博，多玩被入侵我不覺得奇怪，但是人人每年花那麼多錢聘技術員有的甚至不比騰訊低、CSDN自己做技術的，都這麼忽視安全，讓自己的用戶表單在圈內傳播，實在是個恥辱。

很多都很強大的··相信QQ的是做的做好的之一！因為這麼多年來的盜號人促進了他們的安全性的提高！

資料庫內部細節外部的人誰都不知道，誰能想像CSDN這樣的網站一直到10年資料庫里還存了明文密碼！隨便找個大學本科生做的最多的「圖書管理系統」，密碼至少也是MD5哈希過一次的吧。

而且，光談資料庫安全性也沒有意義，都能夠讓黑客獲得許可權可以看見資料庫甚至拖庫了，就算密碼保護的很好也已經算是非常失敗了吧。

所以只能談用戶帳號體系的安全性，這方面，我認為騰訊是做的不錯，雖然不知道內部是怎麼做的，只是覺得。

dz的動態加密也不錯

這個問題不知道該如何回答，或者說還無最佳答案在內心，但是可以分享一篇有感而寫的文章：賬號泄漏門事件談網路安全意識

http://www.mysqlops.com/2011/12/26/security.html

註：1個多月沒寫文章，接下來也會消失一段時間，以後慢慢會把一些做過的東西及建議詳細分享給大家.

任何安全性都不是孤立而言的。單單做資料庫安全等於沒有任何意義。你得首先了解攻擊者的攻擊模式，以及自己的哪些數據是需要保護的，然後才知道如何確保所有接觸到的途徑可以被控制和檢查。因此通常情況下，途徑多種多樣，安全也就是多層次的，不單單是資料庫上做個解決方案就能處理掉的。

網路上沒有秘密可言