口令确实只有数字和字母。但是长度还是挺长的,没有符号和大写的这种。
现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
This topic created in 2325 days ago, the information mentioned may be changed or developed.
 |
1
Whsiqi Jan 4, 2020 via Android
他们就是明文保存的
|
 |
2
mercury233 Jan 4, 2020  9
可能平台对自己搞了渗透测试,用常见密码和撞库测出来的
|
 |
3
whalegao Jan 4, 2020 via iPhone
密码都会加盐。渗透测试测不出来的
|
 |
4
darknoll Jan 4, 2020 via Android
数据库里面是加密的,但是你传过去的密码不是能看到么
|
 |
5
cydian Jan 4, 2020 via Android
显然是明文
|
 |
6
sarices Jan 5, 2020
将常用弱口令 hash 一下对比就知道了吧,如果你的密码很复杂,然后说是弱口令那可能有问题,你的密码是什么?
|
 |
7
Mac Jan 5, 2020
撞库
|
 |
8
ziseyinzi Jan 5, 2020 via Android
密码表
|
 |
9
Tianao Jan 5, 2020
另一种可能——钓鱼消息。
|
 |
10
Rwing Jan 5, 2020
撞库正解
|
 |
11
skyrem Jan 5, 2020 via Android
如果是被拖库了不好意思说呢
|
 |
12
Sylv Jan 5, 2020
也有可能是最近一次登录输密码时候检测的。
|
 |
13
Perry Jan 5, 2020 via iPhone
以国内公司的尿性 怕是真的是明文储存
md5 反向是什么鬼 |
|
14
Perry Jan 5, 2020 via iPhone
如果公司真的用的 md5 加盐,那得先把彩虹表撒点盐然后和存储的做比较,如果每个用户对应不一样的盐,那就可能要跑更久一点。总之只能过滤掉彩虹表里的弱密码,分析不出来密码是不是通过了强口令的要求(密码长度、有没有至少 n 个特殊符号等等)
|
 |
15
taobibi OP 额,那估计可能是撞库了,密码是 8 个数字+6 个字母的。我感觉现在国内公司应该还不敢明文存密码吧。印象中听说 csdn 明文存密码的时候我还是中学生呢
|
 |
16
imn1 Jan 5, 2020
这个要讨论么?
好多网站都有啊,一边输入,一边判断强弱,虽然只是前端,但在提交时加个字段 0/1,后端就知道强弱了 后端检查也可以,密码接收后、匹配前做个判断 为啥非要从库里提取逐个检查彩虹表这么麻烦? CPU 闲得慌? 如果直接显示出你的密码,那倒是要担心一下 |
 |
18
wzzzx Jan 5, 2020 via Android
我觉得还有可能是他们事先跑过一遍弱密码了
|
 |
19
version0 Jan 5, 2020 via Android
数据库是 md5 的,但是你穿过去的密码在 md5 加密对比前可以知道是否是弱密码啊
|
 |
20
ClarkAbe Jan 5, 2020 via Android
{pass_show:xxxxx,password:md5}
|
 |
21
msg7086 Jan 5, 2020 2
首先吧……你怎么知道网站「判断」了弱口令?
它就不能群发一遍? |
 |
22
Adriel Jan 5, 2020 via iPhone
这有啥奇怪 就连 csdn 也存过明文密码 υ᷇(⚆•̫⚆)υ᷆
|
 |
23
Pastsong Jan 5, 2020
下次登陆的时候 hash 前查一次不就好了(最近 Github 就是这么干的)
|
 |
24
loading Jan 5, 2020 1
这段时间你登陆过吗?
如果有,那就是在你发送密码过去的时候验证的,如果一直没输入过密码,基本实锤明文。 |
 |
26
marcomarco Jan 5, 2020 via iPhone
注册或修改密码时会给你的密码进行强度评级并把评级保存啊,如果是低级的就给你发信息呗。
|
 |
28
jugelizi Jan 5, 2020 1
真怀疑你们是真的程序员吗
回答的感觉没写过代码 |
 |
29
agdhole Jan 5, 2020
可能他们发现已经跑路的程序员用的是 md5,而 md5 不是加密算法
|
 |
30
miao Jan 5, 2020
也可能这个平台给所有人群发的邮件用的都是同一个内容.
|
 |
31
feng12345 Jan 5, 2020 1
极大概率是收到消息被脱裤了,又不好意思光明正大的说,只能这么提示了 楼上都是从程序员的角度看问题
|
 |
32
Tink PRO 这个简单啊,搜集常见的弱密码然后 md5 加密再对比就可以了
|
 |
33
locoz Jan 5, 2020 via Android 1
被脱库 /撞库+1。
换位思考一下,正常情况即使之前没有弱口令检测的设定,现在突然加上了也不应该对旧的密码全部扫一遍,费力不讨好,没啥必要。 即使要扫一遍,也不能证明他们存储时就是存的明文。没加盐的话可以直接上彩虹表,加了盐的话可以把弱口令字典按规则做一遍 hash 再匹配,效果也是一样的。( cmd5 之类的“md5 破解”平台其实就是这个原理) |
 |
34
gamexg Jan 5, 2020 via Android
用已泄漏密码库的密码撞
|
 |
35
h123123h Jan 5, 2020 via iPhone
会不会是你最近登录过,你登录的时候如果是弱口令他记下来然后再发消息给你
|
 |
36
laoyur Jan 5, 2020 1
古代几个农民在讨论皇帝是不是用的金锄头
此事一楼绝壁是真相了 |
|
37
taobibi OP @imn1 不是新注册的时候判断弱口令的,三年的老账号了。近期登陆过,所以我感觉也有可能是近期登陆的时候采集的明文进行提醒的。口令不是常用的弱口令,只是没有大写和符号。
|
 |
39
iamverylovely Jan 5, 2020 via Android
加密后的结果不是一样的吗? count*
|
|
40
iamverylovely Jan 5, 2020 via Android
统计密码 md5 在数据库出现的频率。
|
Select Language