这是一个创建于 3978 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
loading 2013-12-27 08:55:31 +08:00 via iPhone  2
我碰到过密码修改了其中一个字母提醒我和旧密码太相似的,我似乎明白了什么!
|
 |
3
andrewpsy 2013-12-27 09:20:54 +08:00
可以用旧密码更改密码必须是坑爹的,但是新密码和旧密码相似不给用是很正常的做法,我们公司是存过去的六个密码.
|
 |
4
zhujinliang 2013-12-27 09:21:37 +08:00
@loading 一般hash算法要求改变其中一个字节使结果产生巨大的变化,故可反推:两次hash结果差异巨大->你的改动太小。恩,他们的程序员一定是这样做的。
|
|
6
zhujinliang 2013-12-27 09:27:47 +08:00
一般hash算法要求改变其中一个字节(也会)使结果产生巨大的变化
漏了两个字。。。瞬间笑果就差了劲了。。。 |
|
7
loading 2013-12-27 10:06:30 +08:00 via iPhone
@zhujinliang 神逻辑!
|
 |
9
RIcter 2013-12-27 10:41:30 +08:00
所以那些csdn明文密码泄露什么的,实际上肯定是有一个字段存放散列过的密码,其他的保存有明文的。呸,怎么能这样。
|
|
10
andrewpsy 2013-12-27 11:36:38 +08:00
@Mutoo
@loading 记忆模糊了,张口就胡说了.抱歉.去年夏天刚毕业加入公司的时候不知道我老板哪根筋搭错了让我同时在两个组工作,借用我的那个组当时在搞全公司平台的single sign on(SSO),我当时被分配到了user authentication和authorization相关的后台代码任务.给那个组干了一阵子发现不喜欢他们的老板我尝试渐渐疏远他们,最后利用一个机会莫名其妙的完全脱身了.实时证明我预感还是不错的:1.我自己组的老板人非常好,团队气氛很和谐 2.以前一起战斗过的那个组的小伙伴们跟我抱怨过他们PM提出的要求 3.我在自己组100%投入工作一阵子后两次评审都是优秀(涨工资发奖金),如果继续脚踏两只船估计两边都干不很好. 为了回答你俩的疑问我翻看了当时的邮件找到了dev数据库登陆上去看了看,还找到了密码相关的要求(懒,代码没看),我们公司对旧密码的要求其实是不能使用过去用过的12个密码,对新密码和旧密码的相似度没有要求. https://www.dropbox.com/s/xb2sm1tn0gz8iwp/Screen%20Shot%202013-12-26%20at%2021.07.31.png |
|
13
andrewpsy 2013-12-27 11:56:34 +08:00
@66450146 是啊,我回完贴后越想越不对,明明记得有hash和salt的啊,所以查了半天老的邮件才找到那个组的开发数据库服务器去验证一下,也翻出了那个项目对密码的要求没找到相似度项目。
|
 |
19
ETiV 2013-12-27 12:43:00 +08:00
都没申诉过QQ?
腾讯会要你输入几个以前用过的密码的... |
 |
20
binux 2013-12-27 12:50:20 +08:00
人工申诉baidu也是,让你输密码,旁边还专门提示,记不清也没关系,客服会根据是否相似判断
|
 |
22
lizheming 2013-12-27 13:39:33 +08:00
|
 |
23
yylzcom 2013-12-27 15:11:14 +08:00 via Android
大家有没有想过用密码中单字进行加密然后进行相似度比较的情况?当然我不是说有哪个公司在这么做
|
 |
24
czz811 2013-12-27 16:38:05 +08:00
gmail修改密码也是不能修改上次使用的密码
|
 |
25
MC 2013-12-27 16:40:04 +08:00
储存以前的旧密码和明文储存密码似乎是两码事吧,就算以加密形式存了你100个以前用过的密码,也无所谓吧。
我倒是觉得这样的方式还是挺人性化的,反而有些公司存了明文密码之后滥用,还不承认的,就很令人恶心了(我遇到过) |
 |
26
SoloCompany 2013-12-27 21:34:24 +08:00 via Android
把密码掐掉一个字符记录下来n-1个hash就能实现相似度不超过1个字符的检测了,当然密码太长的话只能少存几个就是了
|
Select Language