居然 Google 也有"Enter the last password you remember",难道它也保存着密码明文?

2015-05-10 16:31:19 +08:00
 Oucreate
不久前吃惊地发现在Google重置密码时也有这一步(可跳过)。

因为Hash差一个字符都面目全非,再加上我觉得谷歌对于40位以上的长密码应该不会浪费资源反向解密,所以我好奇谷歌是不是保存着原明文密码。

(但是对于同样要提供尽可能记得的原密码的腾讯、新浪等中国公司,不是怀疑而是相信肯定存有明文啦。)
4200 次点击
所在节点    问与答
15 条回复
sumhat
2015-05-10 16:33:54 +08:00
会保存以前用过的密码,商业版用户重置密码不得与之前用过的 100 个重复。

当然……保存 Hash 这种技术,在 MD5 时代就解决了 -_-
wy315700
2015-05-10 16:36:21 +08:00
为啥你会相信明文,我保存密码的密文不也一样吗。
casparchen
2015-05-10 16:37:16 +08:00
为什么不可以存hash?然后比较last password的hash?
imn1
2015-05-10 16:38:11 +08:00
不明白为何想到明文密码这点上去?
imlonghao
2015-05-10 16:52:27 +08:00
不明白为什么会想到存明文密码

难道我就不可以存下你每一次密码的密文吗?
sengxian
2015-05-10 16:58:50 +08:00
楼主的意思是说:以前的密码不一定可以完全写对,但只要八九不离十就能通过;但对于两个相似度极高的密码,hash值却大不同,所以要实现这个功能,想到了明文密码吧。
243205964
2015-05-10 17:01:13 +08:00
@sengxian 我觉得应该必须完全写对,不然我猜某个人的习惯改某人的密码不是很随意吗?
sengxian
2015-05-10 17:03:47 +08:00
@243205964 申诉不是只这一项就可以找回的,记得我以前申诉我的QQ填了好多信息才过
wy315700
2015-05-10 17:04:30 +08:00
cszhiyue
2015-05-10 17:11:38 +08:00
@wy315700 应该不能是simhash,如果是simhash那不是有助于破解密码?
msg7086
2015-05-10 17:15:07 +08:00
而且这不难理解吧。
如果你改过一次密码,但是输入的是修改之前的密码,Google一样会提醒说,你是不是输入了旧密码?
Felldeadbird
2015-05-10 17:46:04 +08:00
有 一种可能,如果输入错误大于指定位数,应该验证你失败。就像我旧密码为123456
我输入了12345 谷歌在自动补全几个位数的哈希值进行旧记录匹配。
这样就不用明文保存,也可以验证完整性。
caomu
2015-05-10 18:40:24 +08:00
@Felldeadbird google哪知道你hash前密码的位数。。。
binux
2015-05-10 18:44:41 +08:00
@wy315700 simhash 对于短文本毫无用处
ryd994
2015-05-10 23:09:46 +08:00
@Felldeadbird 不错的想法,分片hash,然而密码一共也没多长……
@caomu 为什么不知道?密码明文发送啊,加密交给https

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/189957

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX