使用 PBKDF2（和 Node.js）的对称密钥加密_pbkdf2 nodejs

使用 PBKDF2（和 Node.js）的对称密钥加密

波恩大学研究人员最近发表的一篇论文表明，许多开发者都在努力解决如何正确保护密码。

这项研究要求Freelance.com的260名Java开发人员编写能够安全存储密码的代码。最后，他们中的43人开始了这项工作。给定的任务是为一个虚假的社交媒体网站设置一个用户注册系统。其中39个是男性，1个是女性，其他人没有明确性别。37人有大学学历，平均有6.4年的Java编程经验：

为了评估在任务中获得更多报酬是否会提高安全性，小组中大约一半的人得到了100欧元，其余的人得到了200欧元。然后把他们按照是否提示他们使用给定的方法的分类方式进行分类：

• 使用定义密码存储方法(P100)，支付100欧元。
• 使用定义密码存储方法(P200)，支付200欧元。
• 未定义密码存储方式(N200)，支付200欧元。
• 未定义密码存储方式(P200)，支付200欧元。

通常情况下，开发人员需要3天左右的时间提交他们的工作，其中18人不得不重新提交他们的代码，因为他们使用的是明文密码。其中15个给出的理由是，规范中没有对安全密码存储提出要求，而其他3个只是重新提交了相同的明文密码。

最后，从安全性的角度来看，结果很糟糕，许多开发人员使用编码格式(Base64)、弱哈希(MD5和SHA-1)和弱密码加密(AES和3DES)：