【IT168 专稿】一直以来很多程序员在网站制作的过程中喜欢使用MD5对用户的密码进行加密保存，比较细心的程序员还会对用户的密码保护答案进行MD5加密，这样可以最大限度的保护用户的隐私。对于很多网站保存用户密码保护问题及答案的做法这里提出批评，你们是否考虑过用户的隐私？是否考虑过一旦密码保护的答案被一些不怀好意的人知道以后可能导致的一连串安全问题？

    例如——现在很流行的社会工程学入侵，简单的可以理解为3部分：

    1.踩点——通过搜集目标用户或者网站管理员的习惯、资料获得最大程度的信息

    2.猜测、欺骗——与目标用户或网站管理员套近乎，尽量骗取对方信任，从而了解对方的习惯、兴趣爱好，在信任度达到一定程度的时候可以骗取对方点击一些包含恶意代码的网站、或着发送包含恶意代码的文件甚至是可执行文件（最好是有0day），那样就事半功倍了！

    3.如果通过上面的手段未能得到对方信任、或者没能得到对方电脑权限。那么就开始整理前面搜集来的以及通过“套近乎”得到的有用信息，从中得到对方例如：生日、家庭地址、家庭电话、工作单位、手机、爱人姓名、爱人生日……从中就有很大把握得到对方密码，这个就是个人习惯导致的，关于这个问题将在以后的文章中单独详细说明！

    言归正传，或许你会问这些和我们保存明文资料有什么关系？告诉你，很有关系！因为我们前面说到的资料有一种获取途径就是从目标用户经常上的一些网站上获取来的！

    假设：目标用户毕业于某XXX大学，因此他经常上这个大学的校友论坛进行联谊或者其他交流。那么他在这个论坛必定需要注册，论坛注册通常需要填写：
    1.用户名
    2.密码
    3.邮箱
    4.密码保护问题
    5.密码保护答案
    6.有的甚至要求你填写生日资料，当然这个通常是在详细资料里备选的。