这是一个创建于 3830 天前的主题,其中的信息可能已经有所发展或是发生改变。
discuz的用户表应该是加盐处理的,应该是md5($password.$salt),加盐都能被破,这意味着加盐也不安全了么?还是现在的彩虹表过于庞大?
现在我的密码基本上都由1Password接管了,如果有一天,1Password中招,真不敢想像了。
现在我的密码基本上都由1Password接管了,如果有一天,1Password中招,真不敢想像了。
 |
1
kinghenry 2014-05-15 09:32:54 +08:00
12位随机密码是王道。
|
 |
2
DreaMQ 2014-05-15 09:34:22 +08:00 via Android
小米论坛不像是discuz吧。。。应该没加盐
|
 |
3
wy315700 2014-05-15 09:36:01 +08:00
是盐不够长,6位的盐很好破解的
|
 |
4
yibin001 OP |
|
5
yibin001 OP @wy315700
盐的长度不够是一点,另外一点,直接password+salt也是一个缺陷吧,为啥不把按一定规则打乱,再与password组合呢。 |
 |
6
skydiver 2014-05-15 09:39:23 +08:00 via Android
也不该用md5,太弱了
|
 |
7
sneezry 2014-05-15 09:39:52 +08:00  1
@wy315700 不对,盐的长度不影响安全性。加盐密码都是单独穷举的,一个结果只能对应一个盐和密码的组合。由于破解加盐密码必须要知道盐是什么,所以在已知盐的情况下,盐的长度不影响破解难度。加盐在一定程度上增加了破解成本(通用彩虹表不适用了,需要单独计算),但弱密码还是很容易暴露破解到。
|
 |
8
iwege 2014-05-15 09:41:49 +08:00
其实网站还算好了,自家wifi的密码和安全才是王道...
|
 |
10
dong3580 2014-05-15 09:42:52 +08:00
|
|
13
dong3580 2014-05-15 09:44:07 +08:00
不要再想象什么强密码了,任何一次密码泄露都是有猪一样的队友,很少是自己主动泄露的例子.
|
|
14
sneezry 2014-05-15 09:45:35 +08:00
@yibin001 那基本是无解的。不知道盐和密码怎么组合的光凭猜那是天方夜谭。不过小米论坛用的discuz加盐算法,呵呵。
|
|
15
yibin001 OP 早上在说这件事的时候,我还在想,1Password这样的密码文件存在本地的,会不会也有中招的可能。
要知道1Password不光有用户名和密码,还有登录页的url。 |
|
16
yibin001 OP @sneezry
另外dz的加盐,是md5(md5($password).$salt),为啥不md5($password.$salt)这样来处理? |
|
17
sneezry 2014-05-15 09:53:39 +08:00
@yibin001 可以提高安全性啊,md5($pwd)不就是一个32位的字母数字混合字符串吗,这要比一般的密码明码更难破解嘛
|
 |
18
CoX 2014-05-15 10:04:26 +08:00
用hash_password存吧
|
 |
19
codingpp 2014-05-15 10:08:37 +08:00
http://www.cmd5.com
这个网址的解密是如何实现的呢 |
 |
23
loading 2014-05-15 10:28:00 +08:00 via Android
那flask这次的处理也不够安全了?
|
|
24
loading 2014-05-15 10:29:17 +08:00 via Android
fix:
Flask库这次的密码处理方式也不够安全?我是否要改改再用呢? |
 |
25
coosir 2014-05-15 10:35:47 +08:00
其实起码应该掺杂点其他信息,比如注册时间,比如用户名,比如某个固定字符串……
简单加盐的话被脱裤还是比较容易破解 |
 |
26
sarices 2014-05-15 10:49:28 +08:00
不可能保证100%安全的,我现在都是佢密码前几位,然后加盐组合,来生成hash
|
 |
29
usedname 2014-05-15 12:06:04 +08:00
国内一般论坛的密码都是123456,谁爱要送给你好了,不用谢
|
|
31
wy315700 2014-05-15 12:25:04 +08:00
|
|
32
yibin001 OP @wy315700
现很多网站都是浏览器端把密码md5以后丢到服务器端的,中间被劫持到后就相当于裸了,数据库里加盐也没用。 |
 |
33
ShunYea 2014-05-15 13:05:50 +08:00 via Android
每个站点随机强密码没法记忆啊,软件记忆又太不方便。
|
 |
35
wheatcuican 2014-05-15 14:55:31 +08:00
其实,对于小米800W用户泄露不奇怪。 思路是这样的:小米2012年8月前论坛数据库和小米的某站点放在一个服务器上,一不小心,拿下了这个某站点,更无语的是服务器某处存放了root密码,连上数据库发现有老论坛数据库,查询论坛里的管理,然后破解登陆现在的论坛,然后Discuz如何后台拿shell就不说了 。——winds
http://t.qq.com/p/t/404340088534846 |
 |
36
LazyZhu 2014-05-15 14:58:33 +08:00
KeePass + TrueCrypt
1.帐号同一15位随机密码 2.服务器使用密匙对,关闭密码 |
 |
38
Azone 2014-05-15 15:37:44 +08:00
之前用过Symfony框架,里面有个用户管理的模块,密码好像是sha1(md5(email + password) + salt),salt是当前时间戳+4位随机数字,这样不知道是不是安全
|
 |
39
thisisvoa 2014-05-15 17:14:24 +08:00
楼上1password是不是在炫富,屌丝用lastpass
|
 |
40
kooyou 2014-05-15 20:26:06 +08:00
我也是1passe 另外还有用密码管家。。。因为密码管家满了,又不想充钱。。屌丝啊
|
 |
42
wwek 2014-05-16 09:17:41 +08:00
Lastpass + KeePass + TrueCrypt
路过。如果 Lastpass 躺了,我就只用 KeePass + TrueCrypt了· |
Select Language