第一次见到 12306 这样的密码要求.

2018-12-28 20:12:20 +08:00
 skadi

密码只能为字母和数字或下划线中的两个的组合!

真是惊呆了.

9403 次点击
所在节点    全球工单系统
58 条回复
dtsover
2018-12-29 08:31:29 +08:00
sql 注入倒是一个可能,但这么大的网站设计之初如果不防范这个很难理解啊。
liuzhedash
2018-12-29 09:18:11 +08:00
@KasuganoSoras #12
惊了,从来没坐过?
openbsd
2018-12-29 09:25:54 +08:00
@Osk #2
@KINGSHINE #13
@citydog #19
如果仅限这三种组合,有可能吧(毛骨悚然),密码输入框只接受 _ 字母 数字 ,可以用最粗暴的办法杜绝 SQL 注入?义啥的都得用到各种符号,一刀杜绝
openbsd
2018-12-29 09:26:44 +08:00
@dtsover #21 咱们的套路不就是,可以一刀切的,为啥要搞那么多花样,还得花钱
crab
2018-12-29 09:26:54 +08:00
昨天去注册提交时候提示没填写国家地区,但页面根本没这个选择的,审查元素发现是设置了 displaynone,去掉后选择才能正常注册,莫名其妙。
jasonsui
2018-12-29 09:33:41 +08:00
@sunwei0325 抓个包看看都知道不是明文存的吧
DnC
2018-12-29 09:36:50 +08:00
你的至少还有提示,不知道你见过这样奇葩的没:
(我一般密码中喜欢带一个特殊字符,这是前提)
有的网站,在登录的 pwd 框中,不允许你输入特殊字符,是不允许。即,他把你输入的特殊字符直接 ignore,且不告诉你,不告诉你 (因为 pwd 狂都是*,你也很难觉察)。但是 mmp 的,在更改密码的时候,那个输入框却又允许你输入特殊字符!
然后我某次改了密码之后,就他喵的死活登录不上去了!!!
neptuno
2018-12-29 09:41:28 +08:00
防止你们用密码生成器吗 2333
flycmd
2018-12-29 09:44:24 +08:00
@opengps 就算输入注入的代码也无所谓,反正最后要进行加密算法的,入库和对比都是加密后的数据....
hst001
2018-12-29 09:50:18 +08:00
简单想一想,会不会只是单纯地是产品经理这样要求而已
wwuha
2018-12-29 09:50:52 +08:00
什么时候的事,我昨晚手机端改密码没有这个提示
wwuha
2018-12-29 09:52:11 +08:00
@opengps 我第一反应也是防 sql 注入,不过想想应该不是这个原因,防 sql 有其他方法,不至于用限制密码这个手段
linpf
2018-12-29 09:53:17 +08:00
@Osk
@masker
@yzkcy
@KINGSHINE
@citydog
@jasonsui

我猜一楼的想法就是:12306 为了防止 sql 注入,但是之前有大量代码拼接 sql 语句的情况下。如果密码 hash 后进入 sql 语句,是不需要对密码做这种规定的。那么 12306 既然这么做,就很有可能是因为密码是明文拼接进 sql 语句。
firebroo
2018-12-29 10:07:43 +08:00
都 9201 念了,12306 没那么 low,明文存密码。
lc1450
2018-12-29 10:13:17 +08:00
昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了
ylsc633
2018-12-29 10:14:58 +08:00
1 楼是神人....

这都能看到是明文存储的?

哈哈哈... 怕不是一次登录注册都没写过吧....
ashong
2018-12-29 10:17:00 +08:00
App 修改密码就是不能有特殊字符
lvxiang119
2018-12-29 10:18:08 +08:00
12306 的密码表现行为不是为了安全原因,而是基于大众普遍的记忆偏好,尤其是父母年龄段的用户群体,对密码的记忆时长出现错乱的情况,特殊符号很难记忆并且很多人无法打出来。
yzkcy
2018-12-29 10:34:21 +08:00
@linpf

我觉得解释太牵强。防止 SQL 注入有很多种方式,完全没必要这样。

而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的,否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。

我觉得应该是有别的什么原因,以前注册别的网站,也有过用户名及密码只能是数字、字母和下划线的组合。
abc635073826
2018-12-29 11:00:19 +08:00
@KasuganoSoras 惊了!这么有软妹币的嘛小老弟

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/522038

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX