明文存储密码预警:日本转运的 tenso.com

2014-06-02 01:12:16 +08:00
 keyanzhang


找回密码功能会发送正在使用中的完整密码至邮箱。
4662 次点击
所在节点    信息安全
11 条回复
belin520
2014-06-02 01:14:55 +08:00
这年代,真的加个md5都嫌麻烦吗?
keyanzhang
2014-06-02 01:27:19 +08:00
顺便搜索了一下,找到了这个收集各种明文存储密码网站的 Tumblr:

http://plaintextoffenders.com
cevincheung
2014-06-02 02:03:36 +08:00
有时候是这样的:

$password = 'plain text';
$md5_password = md5($password);
$user->update_password($md5_password);

$email->send($password);
keyanzhang
2014-06-02 02:17:04 +08:00
@cevincheung 邮件中的密码并不是一个新的随机密码,而是当前正在使用中的完整密码。
regmach
2014-06-02 02:44:21 +08:00
中招
dong3580
2014-06-02 07:56:16 +08:00
@keyanzhang
原来这可以当做证据,那我查了查邮箱,发现好几个国内的站直接发了我原来的密码了。汗,
breeswish
2014-06-02 08:40:03 +08:00
为什么这个可以算作明文密码存储……先发送邮件,然后再哈希存进数据库不行么……
breeswish
2014-06-02 08:40:45 +08:00
噢抱歉,没有看完整……确实是明文密码存储了
BinbinWang
2014-06-02 09:16:09 +08:00
whcms 大多发的都是明文
很多都还在用明文密码

所以需要你用随机密码呀亲。
AlanZhang
2014-06-02 09:35:41 +08:00
1password用户表示无所谓
BinbinWang
2014-06-02 09:50:13 +08:00
@AlanZhang
Lastpass 用户同表示无所谓。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/115348

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX