最近因为业务关系注册了不少 IDC 公司的账户,怎么都是明文密码?

2017-08-12 17:36:56 +08:00
 eben
有好多注册一下,就回个注册成功的邮件,娘滴竟然是明文密码,是时候将所有的账户密码都改一遍了,估计我的常用密码都进库了,哭
4954 次点击
所在节点    程序员
32 条回复
pqee
2017-08-13 11:43:06 +08:00
@churchmice 黑掉邮箱确实会
bilibilifi
2017-08-13 14:44:19 +08:00
只要储存了用户密码(而不是加盐的哈希),不论如何加密都不是一种负责任的工程实现
Admstor
2017-08-13 15:14:07 +08:00
系统历史比较重
加上中小 IDC 的业务上面,很多还是人工确认,工单这块基本只是作为一个日志记录查看而已

另外日子不好过,没钱投入开发新系统啊
misaka20038numbe
2017-08-13 15:25:07 +08:00
邮箱发送的是你注册时输入的密码,数据库是加密后存储的。例如有些注册域名登录信息发送给你邮箱的就是明文的随机密码(数据库中的是加密的),一般会附带一句尽快登录修改密码什么的。
Felldeadbird
2017-08-13 17:47:05 +08:00
Felldeadbird
2017-08-13 17:49:10 +08:00
@dzxx36gyy 手机卡了一下…我现在的公司,之前就是这个发送方式,密码在邮件里面。然后…你可以想象到,做的这个设计的开发人员,他们肯定不会考虑到加密,安全的。等你接手后,我就把这块功能换了。
zhx1991
2017-08-13 17:53:53 +08:00
@jugelizi "用的加密方法可以解出用户密码"

我看你才不是程序员吧, 完全不懂密码加密存储的意义
dzxx36gyy
2017-08-13 18:00:31 +08:00
@Felldeadbird 我见过一部分用 whmcs 注册邮件有明文密码的…不过 whmcs 本身密码是加密存储的
jugelizi
2017-08-13 18:21:47 +08:00
@zhx1991 你不要说你是 md5 密码的哦 或 md5+salt 密码哦
zhx1991
2017-08-13 18:24:43 +08:00
@jugelizi 一个密码加密后能被网站自己轻松解开其他人必定也可以. 密码真的泄露以后, 这种所谓的加密意义在哪里?
jugelizi
2017-08-13 19:07:14 +08:00
@zhx1991 加密主要是为了防止被拖库后密码被猜中 在源代码未泄漏或加密算法未公开的情况话 凭数据库里的字符串你猜中密码的概率....
zhx1991
2017-08-13 19:12:24 +08:00
@jugelizi https://arstechnica.com/information-technology/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

我虽然不是专门研究密码学的, 但是一个可逆的"加密算法"根本算不是加密这点常识还是有.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/382455

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX