这个年代,还有哪个大网站用明文保存密码? 有知道的我们一起统计下 mrrebates.com 算一个

2014-09-15 14:36:30 +08:00
 Funni
今天收到了一封来自mrrebates.com 的召回邮件,里面直接明文附上了我的用户名和密码,毫不犹豫的登录改了一个明天就会忘的密码,再也不会用了..

这类网站真是程序员的耻辱.封杀到死.这样就知道为啥大家一起出来混, ebates.com 卖了1亿的现金,mr rebates 啥也不是了
7823 次点击
所在节点    问与答
40 条回复
akaayy
2014-09-15 15:10:21 +08:00
Livid
2014-09-15 15:11:42 +08:00
@akaayy 请给出一些证据。

V2EX 不欢迎这种不负责任的随意回复。
dong3580
2014-09-15 15:19:11 +08:00
@akaayy
你该是看了上次某篇文章的前半部分,没看后半部分。
给你点提示,海明距离,相似算法,然后自己普及一下。

@Funni
另外想吐槽一下,再好的密码 ,也怕一个猪一样的队友。
mornlight
2014-09-15 15:24:10 +08:00
我最常遇到的,是那些卖虚拟空间的网站,注册会员的时候,一封邮件直接把明文密码发我.....
好几次都这样
oldcai
2014-09-15 15:24:34 +08:00
@akaayy 好像很早以前,03年之前,qq找回密码确实会附上密码原文,但是后来就变成重置密码了。
jy02201949
2014-09-15 15:44:16 +08:00
对于像我这样所有网站一个密码的懒惰党,明文密码的网站真是像狗屎一样恶心,当然有的论坛跟网站还是故意这么搞的,社工库就这么来了
jun0205
2014-09-15 15:48:27 +08:00
应该还有很多是用的可解密的密码,觉得这样的密码和明文差别不大。
auser
2014-09-15 15:56:22 +08:00
民生银行网银

去年的时候班办的工资卡 开了网银 一直用的老版网银

后来升级到新版网银 我登录时提示错误 让我输入原来密码的前8位 输入后登录成功

从此改密码 绑定支付宝快捷支付 每月工资到账立马转走
Funni
2014-09-15 16:06:55 +08:00
@auser 这个算大户...标记


@jun0205 加盐多次md5,现在标配了吧
@jy02201949 同意. 针对不同类型的网站,根据重要程度,我有至少3个档次不一样的密码 ;]
@mornlight 这样的服务我可不敢用..
akaayy
2014-09-15 16:10:56 +08:00
QQ可以在不输入密码的情况下检测当前设置的密码的强度 http://www.zhihu.com/question/24434281
密码强度检测: https://aq.qq.com/cn2/psw_strength_check/pswcheck_index
------------------------------------
qq密码忘记了,找回密码申诉的时候,其中重要的一项是:请输入最后三次使用的密码。
(如果腾讯一直在用同一种加密方式,当然也可以比对。我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法,但是输入最近3次密码,却并不要求你输入使用密码的时间。所以我认为腾讯在很长时间甚至目前也使用了明文保存。或者根据本地法律,采用了有特色的明文保存)
------------------------------------
谢谢
taine
2014-09-15 16:38:40 +08:00
10亿
iyaozhen
2014-09-15 16:58:14 +08:00
@akaayy
“我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法。”
都是单向加密,如何不同时期采用不同的加密算法?
“请输入最后三次使用的密码”
这个可能是根据输入密码和原密码的相近程度来判断账号的所有人吧。
密码强度检测估计是用了一些算法来判断密码中是否包含特殊字符、数字、字母等吧
以上在密文的情况下同样可以判断。
qq那么大的公司不可能明文保存密码的。
LazarusX
2014-09-15 16:58:53 +08:00
virusdefender
2014-09-15 17:04:17 +08:00
中国移动wlan业务 找回密码也是发送原密码
budblack
2014-09-15 17:09:30 +08:00
@akaayy 个人认为检测密码强度应该没有必要代入明文密码,一个可信性方案是通过查表的方式测试密文的安全性.考虑到网页工具能即时返回结果,那可以推测是服务器上会在特定的事件发生时(比如密码或加密算法更新时)载入一个校验用户密码的强度的任务并随后将结果保存.
有了以上机制,至于更换加密算法的问题就不是问题了.以下均为臆想情节,请勿对号入座.
设想一下,如果密码库要改算法.在不依赖之前密文结果且不知道明文的前提下要如何转换?既然老用户能登录,那就得有一个密码版本标识和过度机制.这个转换模块也许在客户端也许在服务器.用旧算法验证密码后再用新算法计算新的密文保存.
我是这么想的,总不至于每次更新加密算法的时候都让用户手动重置密码吧?
akaayy
2014-09-15 18:48:59 +08:00
@iyaozhen
@budblack
两位同学都依据“那么大的公司不可能明文保存密码”作为结论反推出不用明文密码也可以做到这些。
需要注意的是,腾讯公司从来没有声明过他们会加密保存密码。
翻看腾讯公司的《隐私权保护声明》 http://www.qq.com/privacy.htm 通篇也没有提到加密二字。
---------------------------------------------------------------------------------引用
您个人信息的管理

腾讯会在如下情形使用您的个人信息:(1)符合法律法规的要求;(2)根据您的授权;(3)符合腾讯相关服务条款、软件许可使用协议的约定;

腾讯不会未经允许向第三方披露您的个人信息。除非满足下述情形之一: (1)根据法律法规的规定;(2)符合您与腾讯之间的相关服务条款、软件许可使用协议的约定;

您个人信息的安全

腾讯严格保护您的个人信息安全。我们使用各种制度、安全技术和程序等措施来保护您的个人信息不被未经授权的访问、使用或泄漏。如果您对我们的个人信息保护有任何疑问,请联系我们。
----------------------------------------------------------------------------------
法律和制度是最优先的,根据这个描述和相关证据,我觉得腾讯公司的做法是加密和明文并存的方式。在高级别的权限中还是能查看明文密码的。

“这么大的公司”也可能做出不符合程序员思路的事情来。你们还记得google退出中国的原因吗
txlty
2014-09-15 19:06:09 +08:00
@Livid @dong3580 @jun0205 @akaayy
qq应该是可逆加密。去看下qq邮箱,用的RSA。没私钥是还原不出密码的。
http://res.mail.qq.com/zh_CN/htmledition/js/qmlogin1c9135.js
还有很多邮件通知发的明文密码,其实是可逆加密。不是明文。
另外,还有很多大网站登录时直接明文传递密码,这比明文存储更可怕。
jun0205
2014-09-15 19:15:16 +08:00
@txlty 可解密就说明可以被看到用户真实密码,在内部权限高点的人应该就可以直接查询到真实密码。

你完全无法信任那些人。
akaayy
2014-09-15 19:15:34 +08:00
顺便说一下,我是腾讯qq的重度用户。
我觉得是否采用加密存储密码方式不代表技术的先进性与否,可能腾讯觉得以自己的技术可以做到明文密码不外泄。
是否采用加密存储密码方式同样不是安全性的保证/保障。高明的黑客可以跳过密码获取信息,要出卖你信息的网站不知道密码也一样可以出卖。

所以,相对而言,中小型网站更需要对密码进行加密,以免被社工。而像腾讯这种巨头,加不加密就那样吧。别人如果都获得了你在腾讯的密码字段,还有什么别人获取不了的呢。
xmbaozi
2014-09-15 19:23:29 +08:00
qq.com
申诉时,会参加与历史密码的相似度

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/133554

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX