V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tshwangq
V2EX  ›  分享发现

sina 围脖果然还是明文密码,或者可逆的加密啊

  •  
  •   tshwangq · 2012-10-27 12:40:25 +08:00 · 4720 次点击
    这是一个创建于 4414 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帐号被盗,请求恢复微薄。
    居然要我提供密码前3位。
    拿去对比了。
    看来他们的客服都可以接触这些密码
    23 条回复    1970-01-01 08:00:00 +08:00
    dndx
        1
    dndx  
       2012-10-27 13:03:46 +08:00
    记得去年的时候说,微博后台是非对称加密的密码,一定级别可以拿到私钥。
    tubie
        2
    tubie  
       2012-10-27 13:21:51 +08:00
    牛X!
    azure
        3
    azure  
       2012-10-27 13:31:57 +08:00   ❤️ 1
    迅雷,腾讯都是可以通过提供曾用密码来作为找回密码的依据的。
    zeiyso
        4
    zeiyso  
       2012-10-27 13:42:03 +08:00
    其实不可逆的加密也可实现这一验证:
    注册账户和修改密码时分别存储加密后的后三位和全部密码。
    不过感觉渣浪用的是明文。。
    Cofyc
        5
    Cofyc  
       2012-10-27 13:50:05 +08:00
    虽然可以将密码前三位单独不可逆加密存储来做这种密码对比,但真不信任新浪微博。记得 Google 让提供旧密码进行验证,也是需要提供完整密码的。
    ming
        6
    ming  
       2012-10-27 14:01:10 +08:00
    政策需要 必然是明文
    zucknet
        7
    zucknet  
       2012-10-27 16:47:52 +08:00
    @ming 不太懂。。为什么必须要明文。。
    arg0
        8
    arg0  
       2012-10-27 16:53:45 +08:00
    @zucknet 至少有这点有用:有很多用户喜欢多个网站使用相同密码,拿到你一个密码就等于拿到多个网站的帐号。
    zythum
        9
    zythum  
       2012-10-27 16:58:25 +08:00
    首先,lz的说法根本不能说明渣狼密码在数据库里是明文的。只能说明加密是可逆的。
    其次,客服可以接触密码的说法应该是不可能的。客服基本流动性大,没有哪个公司会给客服知道一些对于公司来说很重要的东西。如果没有猜错的话客服应该有相应的系统来做这些事情。
    cabbala
        10
    cabbala  
       2012-10-27 17:11:47 +08:00
    可逆的密码,我觉得不厚道。不可逆的算法很多,为什么要用可逆的?
    @zythum
    holsety
        11
    holsety  
       2012-10-27 19:10:36 +08:00
    因为政府有审查需求。

    简单的说,有公安来查,以便去查你水表。
    youtoshell
        12
    youtoshell  
       2012-10-27 22:27:41 +08:00
    可逆的加密可能,前段csdn泄密事件估计新浪现在密码不可能明文存储吧。
    VTHdotC0M
        13
    VTHdotC0M  
       2012-10-28 09:48:05 +08:00
    基于隐私信息和数据保密当然是不可逆(至少目前的水平很难甚至无法可逆)的加密最好,但是在一个私企中都要求有Party委的国家,你这样做让老大哥很恼火和不允许的!
    feiandxs
        14
    feiandxs  
       2012-10-28 10:49:39 +08:00
    @zythum 就算实际是可逆的,楼主这个也不能说明可逆。。。保存的时候单独另存个前三位的好了。
    Mutoo
        15
    Mutoo  
       2012-10-28 11:08:24 +08:00
    @youtoshell 年初的时候 weibo 就被sql注入了,出来是明文的密码。当时刘谦的ID被当demo演示了…

    感觉老大哥在下一盘很大的棋。
    sinxccc
        16
    sinxccc  
       2012-10-28 11:42:56 +08:00
    @feiandxs 这样也很不安全…当然可以把整个密码用不可逆的加密,前三位用可逆的加密…


    @azure 这个不能说明问题,他们可能只是存下了以前的密文
    zhoujian
        17
    zhoujian  
       2012-10-28 12:40:21 +08:00
    这好像说明不了什么吧。用前3位比对可能:

    1. 单独存了前3位
    2. 前3位存了单独的哈希
    3. 其它诡异的操作

    不能说明:

    1. 明文存了密码
    2. 用了可逆的加密

    在后台不需要密码就能拿到你的权限。只要我有权限,何需你的密码?
    如果用明文存密码必有不可告人(我技术太烂了不知道加密是什么东东)或者别有用心(哥就是觉得知道你的密码蛮过瘾的没事还可以登登你QQ微博)的目的。
    如果大家都无底限的明文存密码……那么这个世界毁了……等共产党做救世主吧……
    话说csdn在泄密事件中负了什么责吗?
    youtoshell
        18
    youtoshell  
       2012-10-28 17:32:37 +08:00
    说实话,其实在那里都是要讲政治的。
    hzlzh
        19
    hzlzh  
       2012-10-28 20:29:58 +08:00
    新浪这个觉得还是政策问题,不用太在意,注意管理自己密码就好,比如很多对用户负责的网站就不可逆加密,如果你要人工找回密码,只能重置,无法逆出曾用密码。
    tubie
        20
    tubie  
       2012-11-04 13:22:08 +08:00
    @hzlzh 哪些网站是不可逆的?
    tioover
        21
    tioover  
       2012-11-04 14:58:31 +08:00
    政策要人密码干什么…想要ip什么的新浪也会乖乖送上
    hzlzh
        22
    hzlzh  
       2012-11-04 15:22:05 +08:00
    @tubie 不可逆的多了,上次CSDN出事以后更是给了一剂重药
    reus
        23
    reus  
       2012-11-04 16:17:58 +08:00
    反正不是什么重要的东西,怎么存都没关系
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3117 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:09 · PVG 22:09 · LAX 06:09 · JFK 09:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.