这是一个创建于 3590 天前的主题,其中的信息可能已经有所发展或是发生改变。
以前我就这么干,但是我并没有“保存”只是发送。
不如来段代码来的实际
$password = generatePassword(10);
// password: 1234567890
sendmail('[email protected]',"your password is {$password}");
$db->execute("update users set password = ? where uid = x", sha1($password));
有些时候是不是有些反应过激了……
第 1 条附言 · 2015-01-29 23:45:28 +08:00
之二:https://www.v2ex.com/t/166617
12 条回复 • 2015-01-26 08:27:56 +08:00
 |
1
publicID123 2015-01-26 01:30:47 +08:00
数据还是过境公网了。而且“献”给了对方邮局运营商。
|
|
2
publicID123 2015-01-26 01:31:04 +08:00
反正,我会获取用户明文密码。
2048位RSA加密一下,存进数据库。程序中只有公钥。私钥存U盘里自己收好。 这样,只有我一个人能拥有这份数据。即使被黑客拖库。 |
 |
3
dndx 2015-01-26 02:22:35 +08:00
你能保证邮件在传输过程中没有被人截获?
|
 |
4
NeoAtlantis 2015-01-26 02:38:38 +08:00
不要用md5,不要用sha1,对也不要用sha512,不要用任何单一的散列,不要用加盐,不要用两个复合的散列,不要用三个复合的散列……
要用pbkdf2或者bcrypt或者scrypt来拖延时间…… |
 |
5
imn1 2015-01-26 02:50:49 +08:00
结合最近银行内鬼事件……
明文传送也只是一次拦截可以获取机会,但明文保存就有无数次可以获取的机会 看到邮件发回我的密码的网站,一律降级对待该站点—— 换邮箱、换密码,甚至舍弃原来帐号另注册一个 帐号、邮箱、密码一律都换成被偷也没所谓那种,至少不能从该密码推测其他站点的密码 |
 |
6
ericls 2015-01-26 03:02:49 +08:00
如果不用明文,相关部门要你提供用户密码的时候 咋办呢?
|
|
7
NeoAtlantis 2015-01-26 05:05:38 +08:00 via Android
@ericls 直接从你要服务器的权限就好啊,都有关部门了还这么麻烦…
|
 |
9
lzxgh621 2015-01-26 05:39:58 +08:00
@NeoAtlantis 性能。。。
|
|
10
NeoAtlantis 2015-01-26 07:23:51 +08:00
@lzxgh621 如果用单一散列很快,那么生成彩虹表就更快了。这就是拖延时间的意义。
|
|
11
NeoAtlantis 2015-01-26 07:25:40 +08:00
@lzxgh621 有关部门不应该是都不用张嘴直接去服务器登进去调查么……
|
 |
12
babyname 2015-01-26 08:27:56 +08:00 via iPhone
这么说吧 明文是某部门要求的 网站也不想明文
|
Select Language