你注册网站时输入的密码,其实从来没被完整保存过。它会被切成一堆乱码,再撒点"盐"拌一拌——这个过程叫哈希。黑客就算偷走数据库,看到的也只是"5f4dcc3b5aa765d61d8327deb882cf99",而不是你真正的"password"。

哈希是单向的,像绞肉机。肉进去变馅,馅变不回肉。加密则不同,它是带钥匙的保险箱。银行转账、HTTPS网页,用的都是加密——数据锁进去,授权的人能原样取出。

但很多人把这两件事混为一谈。去年LastPass泄露事件就是个教训:用户主密码用了弱哈希,2000万条保险库数据被拖走。安全研究员Troy Hunt事后评价:「哈希不是加密,这个误解让无数人付出代价。」

选哪个?看你要不要找回原文。密码存哈希,聊天记录存加密。一个防内部人偷看,一个防外部人截获——就像你家大门和保险箱,各司其职。

最讽刺的是,很多公司连这都搞错。2023年某头部厂商被曝用可逆加密存用户密码,工程师的回应是"方便客服找回"。用户至今没收到道歉邮件。