发现智联招聘登陆时密码不区分大小写!

2016-12-27 11:21:58 +08:00
 R09PR0xF
前阵子投简历发现这平台找互联网相关的工作效果不大了,各种不相关的公司回电,想想把资料修改掉,我的密码全小写,登陆时开启大写竟然登陆进去了,反复试了几次不同大小写方式的密码都登陆进去了...
2768 次点击
所在节点    问与答
19 条回复
pheyer
2016-12-27 11:31:56 +08:00
我之前呆的一家公司账号登录时,正确密码后面加上合法字符串都可以登录成功,不做这一块的不知道为啥
R09PR0xF
2016-12-27 11:38:34 +08:00
@pheyer 太可怕了...
luban
2016-12-27 11:45:59 +08:00
可能做了转换大小写
以前微软邮箱还是哪个密码 16 位最多,微软只保存 13 位,就是只截取前 13 位,所以后面怎么输都不管你
SpicyCat
2016-12-27 11:50:38 +08:00
@pheyer
我估计是密码有长度上限,但是在登陆的时候没有限制用户能输入多少字符,而服务器收到密码后直接截取密码长度上限,然后 hash 跟数据库校验,所以你在密码后面加字符也能通过。

@R09PR0xF
这个肯定是存入数据库之前就全部变成大写或者小写了。

这样做的理由嘛,方便用户?
Aliencn
2016-12-27 11:58:34 +08:00
没准自动给你转换成第一个大写第二个小写第三个大写第三个小写的格式,也算是一种加盐的方式吧
uzumaki
2016-12-27 12:07:52 +08:00
@R09PR0xF 受众群体庞大,有些人注册都不会,你还想让他记密码大小写。。。
besto
2016-12-27 12:12:09 +08:00
密码保存的方式至少是 MD5 转换后,比对是否匹配。任何能看到密码本身的设计都应被定义成严重 BUG
xdz0611
2016-12-27 12:17:21 +08:00
这要不是明文存储密码都没有人相信吧...
soli
2016-12-27 12:22:52 +08:00
@pheyer 感觉这可以作为一个特性而非八哥哈。

每次都输入不同的密码,防止别人偷看你输入密码。
lhbc
2016-12-27 12:35:14 +08:00
@soli 偷哪一次不是偷?
R09PR0xF
2016-12-27 12:37:15 +08:00
@luban 用户容易么还得多记三位密码...
@SpicyCat
@Aliencn 没发现之前没感觉,发现之后就两种感觉,害我每次输入还得关闭大写和这网站不安全...
@uzumaki = =#

如果自动转换了大小写那撞库的几率会不会大很多?
cccssss
2016-12-27 12:38:29 +08:00
@xdz0611 自动转换大小写而已,大惊小怪。我打赌不是明文,要赌一把吗?
Perry
2016-12-27 12:43:19 +08:00
@xdz0611 注册时密码统一大小写之后再 hash 存进去不就是了么
pheyer
2016-12-27 12:46:50 +08:00
@soli 觉得不至于吧
mooncakejs
2016-12-27 12:53:50 +08:00
@R09PR0xF
@pheyer 这个在门禁之类安防中很常见,防止偷窥或者从键盘中恢复密码。如果是安全类的,很可能这么做。
pheyer
2016-12-27 12:57:01 +08:00
@mooncakejs 防止偷窥有可能,从键盘中恢复密码没得办法吧
mooncakejs
2016-12-27 12:59:57 +08:00
@pheyer 如果只有 6 位密码,看键盘磨损就行了,多按几个就看不出来了。
chanssl
2016-12-27 13:19:58 +08:00
暴雪战网也是不分大小写。
xudzhang
2016-12-27 13:29:59 +08:00
以前用过智联,不知为什么,觉得很难用……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/330437

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX