“我们相信您的密码的保密性非常重要，这就是为什么我们采取措施在存储在我们的服务器上时对其进行强有力的保护。一旦您提交密码，我们就会使用加密函数（盐渍 PBKDF2-SHA256 进行 64,000 次迭代）对其进行转换精通技术），因此即使攻击者能够破坏我们的网站，他们也不会立即获知您的密码。

这种存储密码的方法使您的密码更难被坏人破解。选择与此技术配对的独特且良好的密码/密码短语可以帮助防止未经授权访问您的帐户。甚至我们的员工也不知道您的原始密码。”

类似于亚当的建议，只是扩大到涵盖更多您的担忧。

技术组件很难沟通。理解“我们在做正确的事情”之外的答案需要大量的知识。那么为什么不两者都说，比如：

“我们用非常强大的技术保护您的密码。（对于极客来说，目前是 SHA2/PBKDF2 的 64K 迭代）”

说“我们存储的密码无法解密”是否正确？我担心这意味着密码永远不会被破解，这根本不是真的。

这在某种程度上是正确的，尽管该句子中“解密”的存在可能会导致人们跳入错误的结论。

说密码经过“单向加密散列过程”可能会更好地解释，即使系统管理员也无法反转该过程以找到原始密码。

如果获取密码的唯一方法是暴力破解，那么我认为“过程无法逆转”是公平的。如果您确实想解决暴力破解，您可以继续提到“攻击者获取原始密码的唯一方法是正确猜测它，这可能需要比人类一生更长的时间”假设密码是安全地选择。

我考虑过的其他选项是“用于存储密码的方法无法反转”

是的，我认为这样说是公平的。

“如果发生违规行为，您的密码不应该是可检索的”

在我看来，这并不简洁。首先，“不应该”是模糊的，它实际上可以通过暴力破解来检索，这在这句话中没有得到充分解决。

在我看来，“反转算法”（蛮力无法做到）和“检索密码”（蛮力可以假设有足够的时间）之间存在细微的区别。

但我发现说它们不能被解密以便更容易理解和切中要害，

当然是。

至于文字解释：

我们使用的是安全密码存储 v2.0，它是 PBKDF2 的实现。我们使用哈希算法 SHA256、64000 次迭代和 24 字节作为随机盐。

为了那些了解技术细节的人的利益，最好将其包括在内，假设还包括先前讨论的更多外行解释之一。

这个怎么样

“我们使用经过行业验证的安全技术，确保您的密码不会从我们的设备中被盗。”

编辑：应该根据评论更改措辞，因为保证（或任何你称之为的）受制于从最终用户那里获得足够不可预测的密码。（这是不可靠的）

也许有一个链接“这怎么可能？”

“使用称为重复 SHA256 哈希的技术，只存储密码的校验和。这样我们可以测试密码是否匹配，但无法恢复或解密原始密码。这与大规模使用的技术相同电子邮件和网上银行等应用程序。”

我不是通信专家，但希望第一个报价能给外行提供信息，然后如果有人开始质疑你，他们会点击链接。如果理解 Checksum 这个词，那么也许他们不需要任何额外的研究就可以理解。