V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
eben
V2EX  ›  程序员

最近因为业务关系注册了不少 IDC 公司的账户,怎么都是明文密码?

  •  
  •   eben · 2017-08-12 17:36:56 +08:00 · 4954 次点击
    这是一个创建于 2664 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有好多注册一下,就回个注册成功的邮件,娘滴竟然是明文密码,是时候将所有的账户密码都改一遍了,估计我的常用密码都进库了,哭
    32 条回复    2017-08-13 19:12:24 +08:00
    hanmiao
        1
    hanmiao  
       2017-08-12 18:27:09 +08:00
    KeePass
    dzxx36gyy
        2
    dzxx36gyy  
       2017-08-12 18:27:27 +08:00 via Android
    注册成功邮件里明文不代表数据库里存的是明文,而且,这种密码讲道理就不应该用常用密码吧
    chinafeng
        3
    chinafeng  
       2017-08-12 18:30:07 +08:00
    可能你用的是某个主机财务系统, 历史悠久...那个年代并不重视保护
    eben
        4
    eben  
    OP
       2017-08-12 18:54:16 +08:00
    @chinafeng 我知道数据库里面不是,但发信记录里面有啊
    mlhorizon
        5
    mlhorizon  
       2017-08-12 19:00:31 +08:00
    @eben #4 邮件能发出明文的密码,说明数据库里面某个地方肯定存有明文,或者能解密出来的明文。
    oott123
        6
    oott123  
       2017-08-12 19:20:08 +08:00 via Android
    @mlhorizon 也可能是注册的同时发送明文密码邮件,然后哈希存进数据库。
    当然了,如果你说在收件人的邮件数据库里,那当然是可以找到的…
    wwek
        7
    wwek  
       2017-08-12 20:29:11 +08:00
    LastPass
    wvidc
        8
    wvidc  
       2017-08-12 20:54:58 +08:00
    目前国内的主机管理系统都是加密储存到数据库的
    只是部分企业不重视注册成功的邮件提醒中包含明文密码而已
    SmiteChow
        9
    SmiteChow  
       2017-08-13 00:10:02 +08:00
    keepass
    UnknownR
        10
    UnknownR  
       2017-08-13 00:47:38 +08:00
    所以不要怕麻烦,用个随机生成码工具,重要账户密码都要分开
    pqee
        11
    pqee  
       2017-08-13 01:58:14 +08:00 via Android   ❤️ 1
    五楼说的不对。我做过类似的系统,密码确实会在发信记录里存在,但数据库不会是明文存储。
    jugelizi
        12
    jugelizi  
       2017-08-13 07:47:35 +08:00
    这个不能确定就是明文存密码
    你注册了就把密码转成邮件内容发也没问题啊
    或者人家用的加密方法可以解出用户密码都行的通
    楼主应该非程序员
    eben
        13
    eben  
    OP
       2017-08-13 07:53:32 +08:00 via Android
    @jugelizi 我这个库说的是社工库,明文密码发信记录里面有,另外你不要把那些 idc 系统想太复杂了
    misty8873
        14
    misty8873  
       2017-08-13 08:54:00 +08:00
    星外吧。。。所以 IDC 加洋葱的二次验证的很少。。,

    IDC 有需求 可以找我啊
    vishun
        15
    vishun  
       2017-08-13 09:52:05 +08:00 via iPhone
    即便数据库中不是明文的,发件人的邮箱里有这个密码,和明文有什么区别。
    boboliu
        16
    boboliu  
       2017-08-13 10:40:43 +08:00 via Android
    我记得某老版本的 whm 在后台能直接查到用户密码的,,,可能是记错了?
    weakish
        17
    weakish  
       2017-08-13 10:49:36 +08:00
    @vishun 如果发送方不保存发信的话,风险略有不同。
    Zzzzzzzzz
        18
    Zzzzzzzzz  
       2017-08-13 10:57:37 +08:00   ❤️ 1
    各站各随机密码啊

    @weakish whmcs 工单系统都是基于邮件的, 不主动删除都有存档的,我记得用 whmcs 的系统一般用户后台邮件记录里都能看到带密码明文的历史邮件
    akwIX
        19
    akwIX  
       2017-08-13 11:00:11 +08:00 via Android
    远离小商家
    churchmice
        20
    churchmice  
       2017-08-13 11:13:00 +08:00 via Android
    @pqee 那别人黑了机器看到发信记录不就变相看到了密码?
    pqee
        21
    pqee  
       2017-08-13 11:43:06 +08:00 via Android
    @churchmice 黑掉邮箱确实会
    bilibilifi
        22
    bilibilifi  
       2017-08-13 14:44:19 +08:00 via iPhone
    只要储存了用户密码(而不是加盐的哈希),不论如何加密都不是一种负责任的工程实现
    Admstor
        23
    Admstor  
       2017-08-13 15:14:07 +08:00
    系统历史比较重
    加上中小 IDC 的业务上面,很多还是人工确认,工单这块基本只是作为一个日志记录查看而已

    另外日子不好过,没钱投入开发新系统啊
    misaka20038numbe
        24
    misaka20038numbe  
       2017-08-13 15:25:07 +08:00
    邮箱发送的是你注册时输入的密码,数据库是加密后存储的。例如有些注册域名登录信息发送给你邮箱的就是明文的随机密码(数据库中的是加密的),一般会附带一句尽快登录修改密码什么的。
    Felldeadbird
        25
    Felldeadbird  
       2017-08-13 17:47:05 +08:00 via iPhone
    Felldeadbird
        26
    Felldeadbird  
       2017-08-13 17:49:10 +08:00 via iPhone
    @dzxx36gyy 手机卡了一下…我现在的公司,之前就是这个发送方式,密码在邮件里面。然后…你可以想象到,做的这个设计的开发人员,他们肯定不会考虑到加密,安全的。等你接手后,我就把这块功能换了。
    zhx1991
        27
    zhx1991  
       2017-08-13 17:53:53 +08:00
    @jugelizi "用的加密方法可以解出用户密码"

    我看你才不是程序员吧, 完全不懂密码加密存储的意义
    dzxx36gyy
        28
    dzxx36gyy  
       2017-08-13 18:00:31 +08:00 via Android
    @Felldeadbird 我见过一部分用 whmcs 注册邮件有明文密码的…不过 whmcs 本身密码是加密存储的
    jugelizi
        29
    jugelizi  
       2017-08-13 18:21:47 +08:00
    @zhx1991 你不要说你是 md5 密码的哦 或 md5+salt 密码哦
    zhx1991
        30
    zhx1991  
       2017-08-13 18:24:43 +08:00
    @jugelizi 一个密码加密后能被网站自己轻松解开其他人必定也可以. 密码真的泄露以后, 这种所谓的加密意义在哪里?
    jugelizi
        31
    jugelizi  
       2017-08-13 19:07:14 +08:00
    @zhx1991 加密主要是为了防止被拖库后密码被猜中 在源代码未泄漏或加密算法未公开的情况话 凭数据库里的字符串你猜中密码的概率....
    zhx1991
        32
    zhx1991  
       2017-08-13 19:12:24 +08:00
    @jugelizi https://arstechnica.com/information-technology/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

    我虽然不是专门研究密码学的, 但是一个可逆的"加密算法"根本算不是加密这点常识还是有.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1131 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:59 · PVG 06:59 · LAX 14:59 · JFK 17:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.