发现智联招聘登陆时密码不区分大小写！

我之前呆的一家公司账号登录时，正确密码后面加上合法字符串都可以登录成功，不做这一块的不知道为啥

@pheyer 太可怕了...

可能做了转换大小写
以前微软邮箱还是哪个密码 16 位最多，微软只保存 13 位，就是只截取前 13 位，所以后面怎么输都不管你

@pheyer
我估计是密码有长度上限，但是在登陆的时候没有限制用户能输入多少字符，而服务器收到密码后直接截取密码长度上限，然后 hash 跟数据库校验，所以你在密码后面加字符也能通过。

@R09PR0xF
这个肯定是存入数据库之前就全部变成大写或者小写了。

这样做的理由嘛，方便用户？

没准自动给你转换成第一个大写第二个小写第三个大写第三个小写的格式，也算是一种加盐的方式吧

@R09PR0xF 受众群体庞大，有些人注册都不会，你还想让他记密码大小写。。。

密码保存的方式至少是 MD5 转换后，比对是否匹配。任何能看到密码本身的设计都应被定义成严重 BUG

这要不是明文存储密码都没有人相信吧...

@pheyer 感觉这可以作为一个特性而非八哥哈。

每次都输入不同的密码，防止别人偷看你输入密码。

@soli 偷哪一次不是偷？

@luban 用户容易么还得多记三位密码...
@SpicyCat
@Aliencn 没发现之前没感觉，发现之后就两种感觉，害我每次输入还得关闭大写和这网站不安全...
@uzumaki = =#

如果自动转换了大小写那撞库的几率会不会大很多？

@xdz0611 自动转换大小写而已，大惊小怪。我打赌不是明文，要赌一把吗？

@xdz0611 注册时密码统一大小写之后再 hash 存进去不就是了么

@soli 觉得不至于吧

@R09PR0xF
@pheyer 这个在门禁之类安防中很常见，防止偷窥或者从键盘中恢复密码。如果是安全类的，很可能这么做。

@mooncakejs 防止偷窥有可能，从键盘中恢复密码没得办法吧

@pheyer 如果只有 6 位密码，看键盘磨损就行了，多按几个就看不出来了。

暴雪战网也是不分大小写。

以前用过智联，不知为什么，觉得很难用……