V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
skadi
V2EX  ›  全球工单系统

第一次见到 12306 这样的密码要求.

  •  
  •   skadi · 2018-12-28 20:12:20 +08:00 · 9412 次点击
    这是一个创建于 2186 天前的主题,其中的信息可能已经有所发展或是发生改变。

    密码只能为字母和数字或下划线中的两个的组合!

    真是惊呆了.

    58 条回复    2018-12-30 00:29:50 +08:00
    sunwei0325
        1
    sunwei0325  
       2018-12-28 21:41:26 +08:00   ❤️ 1
    说明密码就是明文存的
    Osk
        2
    Osk  
       2018-12-28 21:43:12 +08:00
    @sunwei0325 这看不出来吧...
    bestie
        3
    bestie  
       2018-12-28 22:27:21 +08:00
    试了一下,无法复现 ___AAA111
    楼主可以给一个复现的例子
    alexmy
        4
    alexmy  
       2018-12-28 22:28:18 +08:00
    是很奇葩啊,刚改不久,随机了一堆字符串后,想手动加点符号,结果只能加几个下划线。
    WangXg
        5
    WangXg  
       2018-12-28 23:00:31 +08:00
    是除了字母和数字,只能用下划线,而不能用其他符号的意思吧?
    dong3580
        6
    dong3580  
       2018-12-28 23:31:57 +08:00 via Android
    所以不允许用 @#()/\+-这类符号是为了输入密码方便么?
    opengps
        7
    opengps  
       2018-12-28 23:34:03 +08:00 via Android   ❤️ 3
    我猜是为了防止 sql 注入的做法,只允许下划线怎么拼凑都成不了 sql 语句
    masker
        8
    masker  
       2018-12-28 23:34:38 +08:00 via Android
    @sunwei0325 求教这是怎么看出来的。
    yzkcy
        9
    yzkcy  
       2018-12-29 00:10:50 +08:00
    @sunwei0325 怎么说?
    suith27
        10
    suith27  
       2018-12-29 01:09:47 +08:00
    我今天也刚改了,就是有这种无理的要求!
    (使用 LastPass 自动生成的密码,提示见楼主图片
    shanigan
        11
    shanigan  
       2018-12-29 02:24:51 +08:00 via iPad   ❤️ 2
    @opengps 都 2018 年了,防 sql 注入还在靠限制密码强度来做,这是无能的表现。
    KasuganoSoras
        12
    KasuganoSoras  
       2018-12-29 02:30:48 +08:00 via Android
    从来不在 12306 买票,我也没有坐火车的需求
    出门都是骑车,坐公交车或者地铁,比较远的就开车,再远一点的就坐飞机了
    KINGSHINE
        13
    KINGSHINE  
       2018-12-29 03:17:23 +08:00 via Android
    @sunwei0325 扯淡呢明文
    KINGSHINE
        14
    KINGSHINE  
       2018-12-29 03:18:03 +08:00 via Android
    @KasuganoSoras 为什么不坐火车
    jamesxu
        15
    jamesxu  
       2018-12-29 07:34:51 +08:00 via iPhone
    是不是拿\w 正则校验的?这个只允许大小写、数字和下划线
    0312birdzhang
        16
    0312birdzhang  
       2018-12-29 08:12:50 +08:00 via iPhone
    0312birdzhang
        17
    0312birdzhang  
       2018-12-29 08:13:25 +08:00 via iPhone
    @bestie 用手机 app 随时复现
    7654
        18
    7654  
       2018-12-29 08:18:29 +08:00
    早在第一次 12306 被传拖库的时候我发现了这一奇葩规定
    但是我注册的时候并没有要求这些,所以我的密码中也特殊字符
    citydog
        19
    citydog  
       2018-12-29 08:25:15 +08:00
    @sunwei0325 脑路清奇,怎么个理由?说说!不能为了喷而喷昂
    dtsover
        20
    dtsover  
       2018-12-29 08:29:41 +08:00
    用户密码和被拖库有撒关系?用户密码高复杂度不是为了防治撞库登陆?但一般不是有试错次数限制的吗?
    dtsover
        21
    dtsover  
       2018-12-29 08:31:29 +08:00
    sql 注入倒是一个可能,但这么大的网站设计之初如果不防范这个很难理解啊。
    liuzhedash
        22
    liuzhedash  
       2018-12-29 09:18:11 +08:00
    @KasuganoSoras #12
    惊了,从来没坐过?
    openbsd
        23
    openbsd  
       2018-12-29 09:25:54 +08:00
    @Osk #2
    @KINGSHINE #13
    @citydog #19
    如果仅限这三种组合,有可能吧(毛骨悚然),密码输入框只接受 _ 字母 数字 ,可以用最粗暴的办法杜绝 SQL 注入?义啥的都得用到各种符号,一刀杜绝
    openbsd
        24
    openbsd  
       2018-12-29 09:26:44 +08:00
    @dtsover #21 咱们的套路不就是,可以一刀切的,为啥要搞那么多花样,还得花钱
    crab
        25
    crab  
       2018-12-29 09:26:54 +08:00
    昨天去注册提交时候提示没填写国家地区,但页面根本没这个选择的,审查元素发现是设置了 displaynone,去掉后选择才能正常注册,莫名其妙。
    jasonsui
        26
    jasonsui  
       2018-12-29 09:33:41 +08:00 via Android
    @sunwei0325 抓个包看看都知道不是明文存的吧
    DnC
        27
    DnC  
       2018-12-29 09:36:50 +08:00   ❤️ 1
    你的至少还有提示,不知道你见过这样奇葩的没:
    (我一般密码中喜欢带一个特殊字符,这是前提)
    有的网站,在登录的 pwd 框中,不允许你输入特殊字符,是不允许。即,他把你输入的特殊字符直接 ignore,且不告诉你,不告诉你 (因为 pwd 狂都是*,你也很难觉察)。但是 mmp 的,在更改密码的时候,那个输入框却又允许你输入特殊字符!
    然后我某次改了密码之后,就他喵的死活登录不上去了!!!
    neptuno
        28
    neptuno  
       2018-12-29 09:41:28 +08:00
    防止你们用密码生成器吗 2333
    flycmd
        29
    flycmd  
       2018-12-29 09:44:24 +08:00
    @opengps 就算输入注入的代码也无所谓,反正最后要进行加密算法的,入库和对比都是加密后的数据....
    hst001
        30
    hst001  
       2018-12-29 09:50:18 +08:00
    简单想一想,会不会只是单纯地是产品经理这样要求而已
    wwuha
        31
    wwuha  
       2018-12-29 09:50:52 +08:00
    什么时候的事,我昨晚手机端改密码没有这个提示
    wwuha
        32
    wwuha  
       2018-12-29 09:52:11 +08:00
    @opengps 我第一反应也是防 sql 注入,不过想想应该不是这个原因,防 sql 有其他方法,不至于用限制密码这个手段
    linpf
        33
    linpf  
       2018-12-29 09:53:17 +08:00   ❤️ 1
    @Osk
    @masker
    @yzkcy
    @KINGSHINE
    @citydog
    @jasonsui

    我猜一楼的想法就是:12306 为了防止 sql 注入,但是之前有大量代码拼接 sql 语句的情况下。如果密码 hash 后进入 sql 语句,是不需要对密码做这种规定的。那么 12306 既然这么做,就很有可能是因为密码是明文拼接进 sql 语句。
    firebroo
        34
    firebroo  
       2018-12-29 10:07:43 +08:00
    都 9201 念了,12306 没那么 low,明文存密码。
    lc1450
        35
    lc1450  
       2018-12-29 10:13:17 +08:00
    昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了
    ylsc633
        36
    ylsc633  
       2018-12-29 10:14:58 +08:00
    1 楼是神人....

    这都能看到是明文存储的?

    哈哈哈... 怕不是一次登录注册都没写过吧....
    ashong
        37
    ashong  
       2018-12-29 10:17:00 +08:00 via iPhone
    App 修改密码就是不能有特殊字符
    lvxiang119
        38
    lvxiang119  
       2018-12-29 10:18:08 +08:00
    12306 的密码表现行为不是为了安全原因,而是基于大众普遍的记忆偏好,尤其是父母年龄段的用户群体,对密码的记忆时长出现错乱的情况,特殊符号很难记忆并且很多人无法打出来。
    yzkcy
        39
    yzkcy  
       2018-12-29 10:34:21 +08:00
    @linpf

    我觉得解释太牵强。防止 SQL 注入有很多种方式,完全没必要这样。

    而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的,否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。

    我觉得应该是有别的什么原因,以前注册别的网站,也有过用户名及密码只能是数字、字母和下划线的组合。
    abc635073826
        40
    abc635073826  
       2018-12-29 11:00:19 +08:00
    @KasuganoSoras 惊了!这么有软妹币的嘛小老弟
    loveour
        41
    loveour  
       2018-12-29 11:04:49 +08:00
    我倒觉得,更大可能性是 12306 使用群体的问题,铁路部门很多奇葩规定都是有原因的。这个猜一下,会不会因为太多人使用了带有特殊符号的密码又记不住又不会重置找客服,类似这样的原因,导致做了这个规定。什么防止 SQL 注入之类的猜测感觉不是特别靠谱。我也只是一猜。
    loveour
        42
    loveour  
       2018-12-29 11:05:31 +08:00
    @lvxiang119 #38 我刚也猜是这个原因,你这么说是知道实情吗?还是也是猜测的。
    cojing
        43
    cojing  
       2018-12-29 11:17:23 +08:00
    网曝 12306 账号暗网泄露:60 万账号、410 万联系人数据低价卖
    https://www.ithome.com/0/402/936.htm

    昨天中午的事儿,暗网上出现了一批 12306 用户数据,😯,懂了 8
    b821025551b
        44
    b821025551b  
       2018-12-29 11:22:58 +08:00
    @cojing #43 这么点数据量,哪个抢票平台上漏的吧,和 12306 没有一点关系。
    linpf
        45
    linpf  
       2018-12-29 11:27:49 +08:00
    @loveour 如果真的是防止忘记,就应该完全不限制密码规定,让用户用一个最顺手的密码。我常用的密码又没有大写也没有特殊符号,像苹果那种网站,又要求大写又要求带特殊符号,我只能想一个不常用的密码,这样才更容易忘记
    e9e499d78f
        46
    e9e499d78f  
       2018-12-29 11:30:26 +08:00 via iPhone
    @DnC 网易就这样的
    xmh51
        47
    xmh51  
       2018-12-29 11:31:39 +08:00
    各位大哥,没注意实体小键盘吗?只能字母加数字加下划线 猜测是这方面的考虑。
    loveour
        48
    loveour  
       2018-12-29 11:33:46 +08:00
    @linpf #45 什么密码更安全其实也是经过争议和认识的改变的。比如之前某些单位会要求定期修改密码,结果后来发现,如果这样做,密码就会越来越简单,反而不利于安全了。不同的网站就是对密码的要求不一样,我也不知道 12306 是经历了什么所以这么规定,之前的回复也说了是我的猜测。
    xmh51
        49
    xmh51  
       2018-12-29 11:35:06 +08:00
    @loveour 猜测是 实体小键盘
    KasuganoSoras
        50
    KasuganoSoras  
       2018-12-29 12:56:27 +08:00
    @liuzhedash 火车坐过,不过是直接去车站买的票,没有在网上订过票
    Jimrussell
        51
    Jimrussell  
       2018-12-29 13:05:37 +08:00
    @yzkcy #39 12306 当年的第一版,很难说是不是明文存密码,第一次等保测试的时候肯定是上线之后的事情了。我个人认为 12306 早期就是靠这个密码规则防注入的,不要高估有关决策者的专业能力。
    hhhzccc
        52
    hhhzccc  
       2018-12-29 14:07:36 +08:00
    海心地命。
    jifengg
        53
    jifengg  
       2018-12-29 16:24:51 +08:00   ❤️ 1
    我觉得楼主吐槽的点是“只能两种的组合”,而不是“符号只能下划线”,难道是我理解错了?虽然只能下划线也很奇葩。
    silencefent
        54
    silencefent  
       2018-12-29 16:29:22 +08:00
    @shanigan 现代社会防止黑客入侵的方式最好还是物理层面完全断网
    jobscolin
        55
    jobscolin  
       2018-12-29 16:40:39 +08:00
    虽说 12306 不咋滴,难道我还能不用吗。。。就算是坨翔,还不是的忍着吞下去???
    TrembleBeforeMe
        56
    TrembleBeforeMe  
       2018-12-29 17:42:31 +08:00
    @jifengg
    截图上明明白白地写着「不少于两种」,不知道楼主怎么解读成「只能为字母和数字或下划线中的两个的组合」的。
    mmdsun
        57
    mmdsun  
       2018-12-29 18:51:44 +08:00 via Android
    @sunwei0325 只怕能登陆注册都没写过吧。。。
    skadi
        58
    skadi  
    OP
       2018-12-30 00:29:50 +08:00
    @TrembleBeforeMe ...你看看红色的提示...难道我复制少了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   971 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 19:12 · PVG 03:12 · LAX 11:12 · JFK 14:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.