twitter 到底干了嘛?怎么会出现用户明文密码

2018-05-06 08:44:00 +08:00
 iConnect

用户密码不是应该只保存 hash 过的吗?

11357 次点击
所在节点    Twitter
30 条回复
gy911201
2018-05-06 15:57:24 +08:00
@swulling 二次 hash 会降低值域,安全性会下降
gy911201
2018-05-06 15:58:50 +08:00
Bcrypt 是目前非常适合用来 hash 密码的算法……还是建议用这个……而不是自己造轮子…………
swulling
2018-05-06 16:23:29 +08:00
@gy911201 Twitter 就是用的 bcrypt,但是和这次是两回事。另外值域缩小对密码来说不是什么问题。


@treo 所以两次啊,javascipt 一次,服务端一次。
swulling
2018-05-06 16:24:41 +08:00
@xy90321 你还真别说,打到 console log 里没啥风险。。
julyclyde
2018-05-06 17:01:58 +08:00
@swulling 多次 hash 会缩小定义域,降低安全性
Telegram
2018-05-06 17:08:34 +08:00
前面几位感觉有点跪舔了,密码明文就是明文,一视同仁的喷就对了,别说什么比国内透明。
就算是日志里出明文,也不能让我理解。
为啥不能前端先 hash 一次,然后提交到服务器,后端你再要怎么加密都没问题。
20015jjw
2018-05-06 18:53:58 +08:00
@Telegram 国内这方面几乎为 0 的透明度还是得喷啊
agagega
2018-05-06 18:59:11 +08:00
还是 Dropbox 的会玩。第一步 SHA 把长度统一,第二步 Bcrypt,第三步用一个全局密钥 AES 加密以防泄漏。
param
2018-05-07 02:59:18 +08:00
所以前端應該在提交之前先哈希一遍
param
2018-05-07 03:01:43 +08:00
@geeklian 即使是 6 位數字,也可以加鹽解決問題

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/452464

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX