这个年代,还有哪个大网站用明文保存密码? 有知道的我们一起统计下 mrrebates.com 算一个

2014-09-15 14:36:30 +08:00
 Funni
今天收到了一封来自mrrebates.com 的召回邮件,里面直接明文附上了我的用户名和密码,毫不犹豫的登录改了一个明天就会忘的密码,再也不会用了..

这类网站真是程序员的耻辱.封杀到死.这样就知道为啥大家一起出来混, ebates.com 卖了1亿的现金,mr rebates 啥也不是了
7823 次点击
所在节点    问与答
40 条回复
izoabr
2014-09-15 19:56:41 +08:00
中国联通的服务密码去年我测试还是发送原文到手机.还有wlan业务也是.
Automan
2014-09-15 19:59:07 +08:00
这年头不加盐的MD5也和明文差不多了
izoabr
2014-09-15 19:59:17 +08:00
我记得看过一篇文章,说政策方面有要求,就是某些机构需要的时候,会给网站主办方下个协查通知,要求提供某些用户的密码原文.所以CSDN和天涯才那样,后来被脱裤暴大问题.但刚才找了下找不到那文章了.
dorentus
2014-09-15 21:27:13 +08:00
@akaayy
用户希望密码加密主要是因为很多人在不同的站点是用同一个密码的,不希望因为一个站点的过失影响到其他站点的账户安全。
lygmqkl
2014-09-15 22:37:59 +08:00
qq 应该是明文密码,可能有权限等级得感觉。核心库一旦开了。。。漏一点都是灾难。
sNullp
2014-09-15 23:29:23 +08:00
@Funni 印象里 ebates 也是明文密码
paulw54jrn
2014-09-15 23:42:54 +08:00
知乎那一个很可疑的 password varchar;
https://gist.github.com/paulw54jrn/fe6c16b78449f6928662
pandada8
2014-09-16 00:05:30 +08:00
→_→不是为了上头方便拿到个人密码才明文保存的么
——
我记得在什么地方看到过有人说过……不过这是一条不负责任的随意回复……
iyaozhen
2014-09-16 01:25:45 +08:00
@akaayy 毕竟出了几件那么大的事情,连我自己开发的应用都把以前明文保存的密码全部加密了一遍。以前可能不是,现在更不可能是明文保存了。至于是不是可逆加密这个就不知道了,只是觉得没有什么业务需要查看密码对应的明文,没必要。
虽然说能接触密码的人很少,但腾讯那么多年了,接触过的人很多了,要是是明文的话早就被爆出来了。
至于google退出中国的原因,当年还小,还不会上网,不知道来龙去脉。请赐教。
a128445
2014-09-16 03:24:29 +08:00
http://toefl.etest.net.cn/
密码明文保存
O21
2014-09-16 06:57:43 +08:00
所有 whmcs 系统 很多卖vps
的用它
niaoren
2014-09-16 08:27:19 +08:00
53kf.com 这个是明文密码的,以前点忘记密码他们是直接发的老密码
timothyqiu
2014-09-16 09:05:05 +08:00
我记得 AcFun 赛门去年说过明文密码是「被要求的」:
http://weibo.com/1420277134/zdfVK0oHJ
sandideas
2014-09-16 09:09:54 +08:00
@auser 说不定前八位加密一次,全部加密一次呢
dong3580
2014-09-16 09:51:46 +08:00
@txlty
确实可能。
另外,"明文传递密码"可以说是基本所有的网站都是。
我很奇怪,密码的用途就是登录,为什么他们不愿意在客户端加密一次或者几次再传输到服务器加密一次,这样不是效果很好么。
lyragosa
2014-09-16 10:02:22 +08:00
大家都在说大型网站,我说一下小网站。

我自己的网站,用的是md5+sha1+注册时候随机决定的salt+根据注册时间决定的salt。后者的算法和整体产生hash的算法在程序中。

技术所限也只能做这样的加密了。偶有一日问一个朋友的网站,曰“搞这么麻烦没意义,我们要专精于业务部分,密码这种东西能明文就明文,还方便帮别人找”。

虽然“别人家的网站”的确做得比我好,但我还是认为无论网站大小,密码不能用明文并且要用复杂算法加密这应该是常识中的常识了。从此之后为了突出这一点,我在我的网站上特意注明了“你在本站注册的密码字符串将得到符合业界通行惯例的方式进行不可逆加密,包括管理员在内的所有人均无法读取你的密码。”

另外前面有说密码传递的……我只想说,除非HTTPS,否则在客户端加密基本上没什么意义……反而让客户端的自动保存密码软件失效。


另外,作为开发者,**根本不需要** 用户的密码就可以以这个用户的身份登录。所以什么方便测试啊,方便上头检查啊都是错的。你自己控制着后端程序,你甚至可以临时写一个万能密码之类的方便领导/测试人员/有关部门登录。

任何情况下,任何网站都没有任何理由存储用户密码原文。
Funni
2014-09-16 12:34:34 +08:00
@lyragosa 不能同意更多
izoabr
2014-09-16 13:00:00 +08:00
@lyragosa 可是"上头"要他的密码目的是为了要这个密码,然后去登陆别的系统之类的,不是为了这个网站的用户.你说CSDN有什么破东西能窥探的,肯定是第三方的.
vivalon
2014-09-22 10:49:12 +08:00
中国电影资料馆
http://www.cfa.gov.cn/
注册后发的邮件是明文密码提示。
imxsec
2019-08-18 18:09:14 +08:00
ICP 备案密码...明文的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/133554

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX