非对称暗码不仅可以应用于签名、加密中，还可以和对称暗码组合形成数字信封，兼顾对称加密技术和非对称加密技术两者的优点，既发挥了对称加密算法速度快的优点，又发挥了非对称加密算法的高平安、无需提前协商的优势。

对称暗码算法中加密和解密采纳了相同密钥，一但加密者或解密者有一方造成密钥泄露，或在密钥分配传输时泄露，都将对信息平安造成影响。非对称暗码算法的提出，办理了这个问题，公钥公开，私钥个人管理，采纳非对称暗码算法在必然程度上可以简化密钥管理的难题。但由于公钥在分发过程中可能被截取后篡改，接收方也无从核查接收到的公钥所对应私钥的持有者身份，因而非对称暗码算法也并不宜大范围使用。

为办理非对称暗码算法不宜大范围应用的问题，引入了权威机构CA（certificate authority，数字证书认证机构），由CA负责用户的身份核实，并向用户发表数字证书，有效地形成公私钥与持有者身份的映射关系，避免了公钥在分发过程中可能被他人偷换的问题，增强了信任性。关于CA、数字证书等相关概念的介绍，将会在后续的文章中详细展开。

互联网服务提供商为了降低数据脱库后的影响，暗码在数据库中多以HASH方式存储。例如用户暗码123456在数据库中会存储其SHA-1值(7c4a8d09ca3762af61e59520943dc26494f8941b)，验证时用户输入原文123456，程序会自动将原文转为SHA-1值再同数据库中的值进行比对。

因为HASH算法是弗成逆的，不能通过密文转换成原文，上述的办法即使脱库，外面上看也不会造成用户暗码的泄露。但HASH算法的密文值是固定的，也便是说123456采纳SHA-1运算后，值永远是7c4a8d09ca3762af61e59520943dc26494f8941b，破译者如果有一张常用暗码对照表，根据获取的SHA-1值仍然可以对应出原文。

互联网服务提供商为了降低被上述方式破解的风险，有时会采纳加盐HASH的方式，即在用户暗码前或者暗码后弥补一个固定值，例如用户暗码为123456，但服务提供商在存储时会在暗码后面弥补固定盐值，如PMtoolbox，这样存储时就会以123456PMtoolbox的SHA-1值（39fcbe1100c9b0c5a065b625098cab680f6b0e27）进行存储。一但盐值和弥补规则泄露，风险与直接存储SHA-1值是相同的，常用暗码仍然无法防御被破解的风险。

因此在互联网上设计暗码时，建议：

暗码不要太常见，不要使用类似于123456式的常用暗码。

各应用软件暗码建议分歧，避免出现一个应用数据库被脱库，全部应用暗码崩塌，可在设置暗码时增加注册时间、注册地点、应用特性等办法。例如tianjin123456，表示在天津注册的该应用。