为什么有些服务商不允许密码含有"特殊字符"?

2015-07-24 10:48:03 +08:00
 PublicID
3299 次点击
所在节点    问与答
27 条回复
abelyao
2015-07-24 11:22:59 +08:00
之前也会觉得挺无语的,因为加密存储的话也没多大关系了啊。
后来发现可能是因为:
1、密码被破解,要么是被社工,要么被字典,网站被暴力破解的几率太低了,一般都有做几次错误就不让尝试的一道关卡;
2、弄特殊字符并不能让整个密码变得更安全,但却会让用户输错密码、忘记密码的几率提升;
dorentus
2015-07-24 11:25:21 +08:00
@abelyao
允许特殊字符并不会让用户输错密码、忘记密码的几率提升啊

强制要求特殊字符或者强制要求不包含特殊字符,导致用户没法用自己常用的密码,才会让用户输错密码、忘记密码的几率提升
abelyao
2015-07-24 11:27:35 +08:00
@dorentus 也是,但是常用密码就容易被社工了。符合自己的“密码规则”确实是更不容易弄错。
abelyao
2015-07-24 11:28:33 +08:00
@dorentus 那么除了这点,目前我想不出还有其它原因是不让用特殊字符了,除非,网站要明文记录密码,并且懒得做字符编码处理。
iqav
2015-07-24 11:32:50 +08:00
不好意思,问个题外话
为什么我表发帖子,自动沉了,时间变成4天前。
明明刚发表,就被沉到4天前。。。
不解。
wy315700
2015-07-24 11:37:40 +08:00
防止编码问题吧
比如跨平台的时候,安全键盘里没有输入法。
publicID001
2015-07-24 11:43:31 +08:00
楼上几位是不是想多了,大多数情况下这种网站不是直接拼接SQL语句插明文密码进数据库的么?
abscon
2015-07-24 11:49:39 +08:00
@publicID001 拼接SQL语句插明文密码,不做参数化查询么?

类似于这样的密码 123456'); DROP TABLE table;--
分分钟教这种网站做人
publicID001
2015-07-24 11:56:33 +08:00
@abscon 2333所以不允许你用"特殊字符"嘛
imn1
2015-07-24 12:00:07 +08:00
@iqav
呵呵,现在轮到你了?11年注册也不是新用户了
这个问题从去年底(V2某次迁徙)开始困扰我8个月,@L大也没回响,就基本不怎么发帖了
本月初一个问题忍不住问了,惊奇发现不再是“2天前”

感觉自己也没做过什么改动,非要说变化的可能就是:
firefox 升到39.0
上个月把 lastpass 禁用了(也没其他密码记录扩展)
上个月活跃度比之前高了些,但也不过是那个进度条刚刚见到绿色而已
把 v2ex DNS转为 udp 解析(之前用 tcp,多数是连到美西服务器),现在基本是连到国内服务器
强制 https,不过这个是去年中就这样,应该跟这个没关系
some0ne
2015-07-24 12:00:46 +08:00
@abscon 你这个密码里面没一个特殊字符啊 搭配shift全都能打出来。特殊字符是一定要用输入法打出来才能叫特殊字符吧 比如:⑨
PublicID
2015-07-24 12:03:15 +08:00
@imn1 我最近发帖也是这样,刚发布的提示X天/小时前
tobyxdd
2015-07-24 12:33:10 +08:00
@imn1 同 如果是人为的也许是我之前喷人来着。。
tabris17
2015-07-24 12:36:28 +08:00
因为总有一些自以为是的傻逼产品经理啊
iqav
2015-07-24 12:45:17 +08:00
@imn1 我这里已经有几天了,新发的贴子就沉了,也就没有人关注,没有互动,没啥用。
如果这不是 BUG 的话,那可能就是一种机制,最近我的绿色进度条总是跑得特别快。
br00k
2015-07-24 12:51:39 +08:00
碰到几个好坑的网站,注册的时候密码能包含特殊符号,登陆的时候就不支持了。当场就直接sb了。
abscon
2015-07-24 13:01:58 +08:00
@some0ne 我回复的是7楼,关注点不是特殊字符而是安全
Gandum
2015-07-24 13:13:02 +08:00
后遗症吧,以前肯定会有不少硬拼语句直接插入明文密码进数据库的,虽然现在都是框架自动处理,但毕竟都习惯了
userlogin
2015-07-24 13:30:45 +08:00
@iqav 新账号的权重低,帖子的排序会靠后,时间会提前。
@imn1 之前你也看过Livid关于时间的解释了,无非是活跃度和注册时间长短的问题,不懂你为什么还要扯其他环境改变的问题,比较容易误导人。
lshero
2015-07-24 13:34:00 +08:00
话说插入数据库后的不应该都是哈希过后的嘛,为啥还会担心特殊符号呢?
我感觉是不是有些网站苦于XSS 然后又懒得防就用WAF之类的统一过滤
所以就整出了一个这个策略?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/207986

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX