关于某些站点明文保存密码有看法

2015-01-26 00:41:40 +08:00
 cevincheung

以前我就这么干,但是我并没有“保存”只是发送。

不如来段代码来的实际

$password = generatePassword(10);
// password: 1234567890

sendmail('user@domain.com',"your password is {$password}");
$db->execute("update users set password = ? where uid = x", sha1($password));

有些时候是不是有些反应过激了……

2866 次点击
所在节点    问与答
12 条回复
publicID123
2015-01-26 01:30:47 +08:00
数据还是过境公网了。而且“献”给了对方邮局运营商。
publicID123
2015-01-26 01:31:04 +08:00
反正,我会获取用户明文密码。
2048位RSA加密一下,存进数据库。程序中只有公钥。私钥存U盘里自己收好。
这样,只有我一个人能拥有这份数据。即使被黑客拖库。
dndx
2015-01-26 02:22:35 +08:00
你能保证邮件在传输过程中没有被人截获?
NeoAtlantis
2015-01-26 02:38:38 +08:00
不要用md5,不要用sha1,对也不要用sha512,不要用任何单一的散列,不要用加盐,不要用两个复合的散列,不要用三个复合的散列……

要用pbkdf2或者bcrypt或者scrypt来拖延时间……
imn1
2015-01-26 02:50:49 +08:00
结合最近银行内鬼事件……
明文传送也只是一次拦截可以获取机会,但明文保存就有无数次可以获取的机会

看到邮件发回我的密码的网站,一律降级对待该站点——
换邮箱、换密码,甚至舍弃原来帐号另注册一个
帐号、邮箱、密码一律都换成被偷也没所谓那种,至少不能从该密码推测其他站点的密码
ericls
2015-01-26 03:02:49 +08:00
如果不用明文,相关部门要你提供用户密码的时候 咋办呢?
NeoAtlantis
2015-01-26 05:05:38 +08:00
@ericls 直接从你要服务器的权限就好啊,都有关部门了还这么麻烦…
lzxgh621
2015-01-26 05:39:01 +08:00
@ericls 相关部门为何要密码?直接要数据,不给就拔网线。。。
lzxgh621
2015-01-26 05:39:58 +08:00
@NeoAtlantis 性能。。。
NeoAtlantis
2015-01-26 07:23:51 +08:00
@lzxgh621 如果用单一散列很快,那么生成彩虹表就更快了。这就是拖延时间的意义。
NeoAtlantis
2015-01-26 07:25:40 +08:00
@lzxgh621 有关部门不应该是都不用张嘴直接去服务器登进去调查么……
babyname
2015-01-26 08:27:56 +08:00
这么说吧 明文是某部门要求的 网站也不想明文

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/165422

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX