好奇密码是怎么泄漏的

是从数据库里获取的吗？数据库存密码一般不会是明文吧？是怎么解密的？

codesaler

2016-04-04 10:02:18 +08:00

部分站是有人为原因，之前接触过一个站，技术人员直接明文存登录和注册时所有输入的用户名和密码到特定的文本文件（不论对错）...
所以在小站上注册登录要注意

delavior

2016-04-04 10:06:26 +08:00

@tcdw 这个是有密码库吧， md5 一般人哪能解密。但是密码库的话只是一些常用密码吧， 6 － 12 位密码只用数字和大小写字母就有 10 的 20 次方种组合了，再加上特殊字符，密码库哪能覆盖全。

int64ago

2016-04-04 10:07:31 +08:00

呵呵我不会告诉你很多都是直接修改的后台代码……

delavior

2016-04-04 10:07:50 +08:00

@codesaler 毕竟少，像某易这种肯定不能出这种情况

kindjeff

2016-04-04 10:11:32 +08:00

很可惜当年的 CSDN 就是明文，我的第一个账号的密码在社工库依然可以查到……可以去听上一期的 teahour 。

int64ago

2016-04-04 10:23:12 +08:00

@delavior 修改后台代码并不需要内部人员啊

congeec

2016-04-04 10:26:16 +08:00

@delavior 彩虹表喽。密码库不能全部覆盖，不过能覆盖常用的

shiji

2016-04-04 11:00:17 +08:00

也有可能早期都是 http 明文登录，即使有的加密了，手机端网页登陆可能还是明文（比如人人网）。如果骨干网络设备被搞了，数据能拿到让你手发软。

gamexg

2016-04-04 13:07:47 +08:00

彩虹表也无法应付加随机盐的密码，这次 163 原始密码泄露表示安全性堪忧。

caixiexin

2016-04-04 13:51:50 +08:00

各种安全事件暴露的库，也是后续攻击的样本。
所以一号一密真的挺重要啊

wolfan

2016-04-04 14:02:49 +08:00

有句话叫作，出来混迟早要还的。
所以对于这些，表示无所谓了，反正除非支付宝，微信这样涉及小钱钱的账号会单独用个密码方案外，其它的随便了，反正保不齐那天支付宝也得被脱

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.