V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Jirry
V2EX  ›  问与答

密码明文储存且不允许修改密码,我能怎么办

  •  
  •   Jirry · 2017-06-30 17:47:32 +08:00 · 4589 次点击
    这是一个创建于 2707 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网站介绍:

    邮件:

    42 条回复    2017-07-03 15:42:20 +08:00
    danielmiao
        1
    danielmiao  
       2017-06-30 17:50:21 +08:00 via iPad
    改别的相同密码帐号的密码
    clearbug
        2
    clearbug  
       2017-06-30 17:50:34 +08:00
    啥网站?
    squid157
        3
    squid157  
       2017-06-30 18:10:17 +08:00
    啥网站这么牛逼,政府网站都没见过这么事儿逼的
    atan
        4
    atan  
       2017-06-30 18:27:52 +08:00   ❤️ 1
    举报
    nfroot
        5
    nfroot  
       2017-06-30 18:50:29 +08:00   ❤️ 1
    你又不公布网站,我们能怎么办?
    crab
        6
    crab  
       2017-06-30 18:52:46 +08:00
    那只能以后不再用这个密码当作密码了啊。
    0ZXYDDu796nVCFxq
        7
    0ZXYDDu796nVCFxq  
       2017-06-30 18:58:41 +08:00 via iPhone
    论一站一密的重要性

    这个水准,应该能够注入改掉密码。
    mokeyjay
        8
    mokeyjay  
       2017-06-30 19:25:45 +08:00 via Android
    牛逼,服气。地址呢?
    catror
        9
    catror  
       2017-06-30 19:29:08 +08:00 via Android
    不要说出是哪个网站,不然可能今晚就会有撞库的
    Laynooor
        10
    Laynooor  
       2017-06-30 19:32:25 +08:00
    @catror
    搜了一下……就找到那个网站了
    imn1
        11
    imn1  
       2017-06-30 19:40:42 +08:00
    只 google 到一个站和这句话一字不差
    本站不支持密码更改,请谅解
    shansing
        12
    shansing  
       2017-06-30 19:46:04 +08:00
    注册的时候密码也不用星号显示 hhh
    Dvel
        13
    Dvel  
       2017-06-30 19:46:23 +08:00
    注入什么的是不可能的,站长一定是把用户和密码都记在小本本上了。
    SourceMan
        14
    SourceMan  
       2017-06-30 19:49:42 +08:00
    jiangzhuo
        15
    jiangzhuo  
       2017-06-30 19:56:20 +08:00 via iPhone
    说不定人家是你申请以后暴力算出来的呢,你怎么就一定说人家是明文存的密码。
    wenzhoou
        16
    wenzhoou  
       2017-06-30 21:55:52 +08:00 via Android
    @jiangzhuo 我去申请一个超长密码尝试一下。
    yu1u
        17
    yu1u  
       2017-06-30 21:57:11 +08:00
    Izual_Yang
        18
    Izual_Yang  
       2017-06-30 23:21:17 +08:00 via Android
    除了明文保存外唯一可能性是生成密码的时候明文发邮件,写数据库仍是加密。当然,这可能是高估。
    nVic
        19
    nVic  
       2017-06-30 23:57:50 +08:00 via iPhone
    一种安全策略而已,其实安全这个东西,没有完善一说,需要考虑的情况太多且常常有尖锐矛盾,简单粗暴也未必不是一种方式。
    Trim21
        20
    Trim21  
       2017-07-01 05:34:16 +08:00
    这网站是不是用的 KindleEar 来着.......之前还在 v2 做过广告..
    ghostheaven
        21
    ghostheaven  
       2017-07-01 06:21:32 +08:00 via Android
    不知道有没有违反新的网络安全法
    kn007
        22
    kn007  
       2017-07-01 06:42:23 +08:00 via Android
    @Izual_Yang 即便真加密也是可逆的,毕竟他的找回密码就是重新发原始密码给你。。。
    cy18
        23
    cy18  
       2017-07-01 07:51:25 +08:00 via Android
    自从三年前被撞了一次库之后就改用 keep ass 一站一密了。说起来,keep ass 这名字还真是贴切。
    kindjeff
        24
    kindjeff  
       2017-07-01 08:54:59 +08:00 via iPhone   ❤️ 1
    我校教务处网站也是明文储存,只需要身份证号就能找回密码。然后我就写了个脚本把全年级的爬了下来。
    hand515
        25
    hand515  
       2017-07-01 10:03:12 +08:00
    @kindjeff #24 还不跑路?
    Jirry
        26
    Jirry  
    OP
       2017-07-01 10:29:12 +08:00
    @atan 可以去哪里举报?
    @nfroot 哈哈哈,我相信你们的线索分析能力
    @catror 我也是这么想的。。
    @Dvel。。。找回密码的时候 再从小本本上一个个查? 23333
    Izual_Yang
        27
    Izual_Yang  
       2017-07-01 12:07:21 +08:00 via Android
    @kn007 你确定找回密码是发原始密码,而不是重新随机生成一个发给你?
    Izual_Yang
        28
    Izual_Yang  
       2017-07-01 12:15:42 +08:00 via Android
    @kn007 妈个鸡还真是发原始密码,这密码到底有何卵用
    Jirry
        29
    Jirry  
    OP
       2017-07-01 12:56:30 +08:00 via iPhone
    @Izual_Yang 是不是很神奇😂
    zpf124
        30
    zpf124  
       2017-07-01 14:25:34 +08:00   ❤️ 4
    说明人家的产品设计语文成绩非常非常好啊,人家制作的才是真正符合 汉语语义的 “找回密码” 。
    而不像其他的妖艳贱货,叫做 “找回” 实际却是 “重置”。 #滑稽
    hws8033856
        31
    hws8033856  
       2017-07-01 15:43:20 +08:00
    @cy18 你这断的……为什么不是 kee pass
    ik
        32
    ik  
       2017-07-01 16:06:33 +08:00 via iPhone
    我记得之前注册某人才网,账号就是明文发到邮箱的
    cy18
        33
    cy18  
       2017-07-01 16:21:05 +08:00
    @hws8033856 防止被爆菊,多贴切的名字
    shansing
        34
    shansing  
       2017-07-01 16:52:56 +08:00
    @Izual_Yang 要是随机生成一个再发,这密码又不能改的话,对用户体验不好的。所以当然直接发原始密码啦!(
    Betacoefficient
        35
    Betacoefficient  
       2017-07-01 17:16:32 +08:00
    这个站长是有多懒啊,我滴妈。
    nVic
        36
    nVic  
       2017-07-01 17:48:42 +08:00 via iPhone
    @zpf124 现在都叫 忘记密码?
    x86
        37
    x86  
       2017-07-01 18:19:39 +08:00 via iPhone
    没毛病呀,找回密码又不是忘记密码,233
    hundan
        38
    hundan  
       2017-07-01 22:10:44 +08:00 via Android
    见过有网站不支持手动修改密码的,但是要找回密码会发一个随机生成的密码到邮箱,如果是这样,我觉得并没有什么不妥
    ruandao
        39
    ruandao  
       2017-07-01 22:14:21 +08:00
    你可以使用 1password
    Izual_Yang
        40
    Izual_Yang  
       2017-07-03 13:59:38 +08:00
    @hundan #38
    没啥不妥,但其实也就相当于绑定邮箱了。
    等于不用记密码,每次找回就行了,和发送原密码的唯一区别是不太可能泄露密码(因为自己也未必记得,唯一泄露途径是脱裤)
    Izual_Yang
        41
    Izual_Yang  
       2017-07-03 14:01:36 +08:00
    @Izual_Yang #40
    但只要坚持每次都找回密码,不就相当于定期修改密码了么
    Microi
        42
    Microi  
       2017-07-03 15:42:20 +08:00
    太可怕了,也是人才。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4086 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:16 · PVG 13:16 · LAX 21:16 · JFK 00:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.