MySQL从5.7版本开始，默认使用sha256_password插件进行密码加密，这是目前最安全的机制。它使用SHA-256哈希算法结合盐值，对密码进行双重加密，确保即使数据库被泄露，攻击者也无法轻易逆向破解。使用命令ALTER USER 'user'@'host' IDENTIFIED WITH sha256_password BY 'password';即可启用。caching_sha2_password是8.0版本的新默认插件，进一步提升了安全性，通过RSA公钥加密传输密码哈希，避免明文传输风险。这是保护MySQL数据安全的核心技术。

来源1

MySQL的密码验证插件机制允许用户选择不同的加密方式。旧版本默认的mysql_native_password使用双重SHA1哈希，但已不推荐使用，因为SHA1已被证明不安全。新版本推荐caching_sha2_password，它结合了SHA-256和缓存机制，既高效又安全。在mysql.user表的authentication_string字段中存储的就是加密后的密码哈希值。

来源2

为了保护数据安全，MySQL在用户认证时不存储明文密码，而是存储哈希值。当用户登录时，MySQL使用相同的哈希算法对输入密码进行处理，并与数据库中的哈希比较。这确保了即使数据库文件被盗取，黑客也只能得到一堆无意义的哈希，无法直接获取密码。

来源3

在MySQL 8.0中，caching_sha2_password插件引入了服务器端公钥加密。客户端首先获取服务器公钥，然后用公钥加密密码哈希发送给服务器，服务器用私钥解密验证。这种机制有效防止了中间人攻击和密码嗅探，是数据安全的关键升级。

来源4

配置MySQL密码加密时，可以通过default_authentication_plugin参数在my.cnf文件中指定插件类型，如default_authentication_plugin=caching_sha2_password。重启服务后生效。同时，为兼容旧客户端，可以为特定用户保留mysql_native_password，但不建议用于生产环境。

来源5

常见错误：使用PASSWORD()函数加密密码已废弃，它基于旧SHA1算法。正确方式是使用ALTER USER语句指定插件和密码。查看当前用户插件：SELECT user,host,plugin FROM mysql.user; 这有助于审计和加强安全。

来源6

保护MySQL数据安全，除了密码加密，还需结合SSL/TLS加密连接、限制远程访问IP、定期轮换密码等措施。密码加密仅是第一道防线，多层防护才能真正保障数据不被窃取。

FAQ
Q: MySQL默认密码加密方式是什么？
A: MySQL 8.0默认使用caching_sha2_password插件。
Q: 如何更改用户密码加密插件？
A: 使用ALTER USER 'user'@'host' IDENTIFIED WITH caching_sha2_password BY 'newpass';。
Q: 旧客户端如何连接新版MySQL？
A: 为该用户设置mysql_native_password插件，或升级客户端支持新插件。
Q: 密码哈希如何存储？
A: 存储在mysql.user表的authentication_string字段中，为哈希值加盐。
Q: 为什么不存储明文密码？
A: 防止数据库泄露时密码直接暴露，提高安全。