不要放弃。你可以用来说服你的客户的武器是不可否认性。如果你可以通过任何机制重建用户密码，你就给了他们的客户一个合法的不可抵赖机制，他们可以拒绝任何依赖于该密码的交易，因为供应商无法证明他们没有重建密码并自己完成交易。如果密码被正确地存储为摘要而不是密文，这是不可能的，因此最终客户要么自己执行交易，要么违反了他对密码的注意义务。无论哪种情况，责任完全落在他身上。我处理过的案件中，金额高达数亿美元。不是你想出错的事。

我以实现多因素身份验证系统为生，所以对我来说，很自然地认为可以重置或重构密码，同时暂时少使用一个因素来验证用户，仅用于重置/重新创建工作流。特别是使用otp(一次性密码)作为一些额外的因素，如果建议的工作流的时间窗口很短，则可以降低很大程度的风险。我们为智能手机(大多数用户已经随身携带了一整天)实现了软件OTP生成器，并取得了巨大的成功。在对商业插头的抱怨出现之前，我想说的是，当密码不是用于验证用户身份的唯一因素时，我们可以降低密码易于检索或重置的固有风险。我承认，在网站场景之间的密码重用情况仍然不太好，因为用户会坚持拥有原始密码，因为他/她也想打开其他网站，但你可以尝试以最安全的方式(htpps和谨慎的html外观)提供重建的密码。

在注册时，在加密和丢失密码之前，通过电子邮件发送明文密码怎么样?我见过很多网站这样做，从用户的电子邮件中获取密码比把密码留在你的服务器/comp上更安全。

在独立服务器上打开一个数据库，并给每个需要此功能的web服务器一个加密的远程连接。 它不必是关系DB，它可以是具有FTP访问权限的文件系统，使用文件夹和文件而不是表和行。 如果可以的话，给web服务器只写权限。

像正常人一样，在网站的数据库中存储不可检索的密码加密(让我们称之为“pass-a”):) 对于每个新用户(或密码更改)，在远程DB中存储密码的普通副本。使用服务器id，用户id和“pass-a”作为这个密码的组合密钥。你甚至可以在密码上使用双向加密，这样晚上睡得更好。

现在，为了让某人同时获得密码和它的上下文(站点id +用户id +“pass-a”)，他必须:

入侵网站的数据库，以获得(“pass-a”，用户id)对或对。 从配置文件中获取网站的id 找到并侵入远程密码数据库。

您可以控制密码检索服务的可访问性(仅将其公开为安全的web服务，每天只允许一定数量的密码检索，手动进行，等等)，甚至为此“特殊安全安排”收取额外费用。 密码检索数据库服务器是相当隐藏的，因为它不提供很多功能，可以更好地保护(你可以定制权限，进程和服务紧密)。

总而言之，你让黑客的工作变得更加困难。在任何一台服务器上出现安全漏洞的几率都是一样的，但是有意义的数据(帐户和密码的匹配)将很难组合起来。

用另一种方法或角度来解决这个问题怎么样?询问为什么密码必须是明文:如果是为了让用户可以检索密码，那么严格地说，您实际上不需要检索他们设置的密码(他们不记得它是什么)，您需要能够为他们提供一个他们可以使用的密码。

想想看:如果用户需要检索密码，那是因为他们忘记了密码。在这种情况下，新密码和旧密码一样有效。但是，目前使用的常用密码重置机制的缺点之一是，在重置操作中生成的密码通常是一堆随机字符，因此用户很难正确地输入它们，除非他们复制-粘贴。对于不太精明的电脑用户来说，这可能是个问题。

解决这个问题的一种方法是提供自动生成的密码，这些密码或多或少是自然语言文本。虽然自然语言字符串可能没有相同长度的随机字符字符串的熵，但没有人说你的自动生成的密码只需要8个(或10个或12个)字符。通过将几个随机单词串在一起来获得一个高熵自动生成的密码短语(在它们之间留出一个空间，以便能够阅读的人仍然可以识别和键入它们)。6个不同长度的随机单词可能比10个随机字符更容易正确输入，而且它们的熵也更高。例如，从大写字母、小写字母、数字和10个标点符号(总共72个有效符号)中随机抽取的10个字符的密码的熵值为61.7比特。使用7776个单词的字典(如Diceware所使用的)，可以随机选择6个单词的密码短语，密码短语的熵将为77.4位。更多信息请参见Diceware FAQ。

一个约77比特熵的密码短语:“承认散文耀斑表敏锐的天赋” 一个约有74位熵的密码:“K:&$R^tt~qkD”

我知道我更喜欢输入短语，使用复制-粘贴，短语也不会比密码更容易使用，所以没有损失。当然，如果你的网站(或任何受保护的资产)不需要77位熵来自动生成密码短语，那就生成更少的单词(我相信你的用户会喜欢的)。

我理解有人的观点，有些受密码保护的资产实际上没有很高的价值，所以密码被泄露可能不是世界末日。例如，我可能不会在意我在各种网站上使用的80%的密码被破解:唯一可能发生的事情就是有人用我的名字发垃圾邮件或发帖。那样不太好，但他们又不会侵入我的银行账户。然而，鉴于许多人在他们的论坛网站上使用的密码与他们的银行账户密码(可能还有国家安全数据库密码)相同，我认为最好将这些“低价值”密码作为不可恢复的密码来处理。

出于道德考虑，您不能为以后的明文检索存储密码。就这么简单。就连乔恩·斯基特(Jon Skeet)也不能在道德上存储密码以供以后的明文检索。如果您的用户可以以某种方式以纯文本检索密码，那么黑客也可能会在您的代码中发现安全漏洞。这不仅仅是一个用户的密码被泄露，而是所有用户的密码都被泄露了。

如果你的客户对此有意见，告诉他们可恢复的存储密码是违法的。无论如何，在英国，《1998年数据保护法》(特别是附表1，第II部分，第9段)要求数据控制者使用适当的技术措施来保证个人数据的安全，除其他外，考虑到如果数据被泄露可能造成的损害——这对于在不同网站之间共享密码的用户来说可能是相当大的。如果他们仍然无法理解这是一个问题，给他们举一些现实世界的例子，比如下面这个。

允许用户恢复登录的最简单方法是通过电子邮件向他们发送一个一次性链接，该链接可以自动登录，并直接将他们带到一个可以选择新密码的页面。创建一个原型，并展示给他们看。

以下是我写的几篇关于这个主题的博客文章:

http://jamesmckay.net/2009/09/if-you-are-saving-passwords-in-clear-text-you-are-probably-breaking-the-law/ http://jamesmckay.net/2008/06/easy-login-recovery-without-compromising-security/

更新:我们现在开始看到针对未能正确保护用户密码的公司的诉讼和起诉。例子:领英(LinkedIn)遭到500万美元的集体诉讼;索尼因PlayStation数据泄露被罚款25万英镑。如果我没记错的话，LinkedIn实际上对用户的密码进行了加密，但它使用的加密技术太弱了，不太有效。