未经许可，不得转载。

任何需要登录的网站，都需为用户提供“找回密码”功能，以便在用户忘记密码时可以重新获得访问权限。但要做到安全可靠、避免漏洞并非易事。本文从“默认安全”的角度出发，探讨如何设计安全的找回密码功能，但在实际业务中，需兼顾用户体验。

一、密码存储的安全策略

确保密码安全的第一步在于正确存储方式。通常，密码有以下三种存储方法：

（1）明文存储：明文存储是将用户的密码直接保存到数据库中。这种方式极不安全，数据一旦泄漏，用户的密码也随之暴露，需绝对避免。

（2）加密存储：加密存储是用密钥加密后保存密码。然而，由于加密是可逆的，只要密钥泄漏，密码仍可能被恢复，因此这并不是最优选择。

（3）哈希存储：哈希存储是将密码经过哈希算法处理，再将哈希值存入数据库。为了防止彩虹表攻击，每个用户的密码还需加上一个独特的盐值（salt）。这种方式安全性高，因为哈希算法是单向的，即使泄漏了哈希值，原始密码也很难恢复。