这个年代,还有哪个大网站用明文保存密码? 有知道的我们一起统计下 mrrebates.com 算一个
Funni 2014-09-15 14:36:30 +08:00 8374 次点击这是一个创建于 4108 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天收到了一封来自mrrebates.com 的召回邮件,里面直接明文附上了我的用户名和密码,毫不犹豫的登录改了一个明天就会忘的密码,再也不会用了..
这类网站真是程序员的耻辱.封杀到死.这样就知道为啥大家一起出来混, ebates.com 卖了1亿的现金,mr rebates 啥也不是了
这类网站真是程序员的耻辱.封杀到死.这样就知道为啥大家一起出来混, ebates.com 卖了1亿的现金,mr rebates 啥也不是了
40 条回复 2019-08-18 18:09:14 +08:00
 | 3 dong3580 2014-09-15 15:19:11 +08:00 |
 | 4 mornlight 2014-09-15 15:24:10 +08:00 我最常遇到的,是那些卖虚拟空间的网站,注册会员的时候,一封邮件直接把明文密码发我..... 好几次都这样 |
 | 6 jy02201949 2014-09-15 15:44:16 +08:00 对于像我这样所有网站一个密码的懒惰党,明文密码的网站真是像狗屎一样恶心,当然有的论坛跟网站还是故意这么搞的,社工库就这么来了 |
 | 7 xAI 2014-09-15 15:48:27 +08:00 应该还有很多是用的可解密的密码,觉得这样的密码和明文差别不大。 |
 | 8 auser 2014-09-15 15:56:22 +08:00 via Android  1 民生银行网银 去年的时候班办的工资卡 开了网银 一直用的老版网银 后来升级到新版网银 我登录时提示错误 让我输入原来密码的前8位 输入后登录成功 从此改密码 绑定支付宝快捷支付 每月工资到账立马转走 |
 | 9 Funni OP @auser 这个算大户...标记 @jun0205 加盐多次md5,现在标配了吧 @jy02201949 同意. 针对不同类型的网站,根据重要程度,我有至少3个档次不一样的密码 ;] @mornlight 这样的服务我可不敢用.. |
 | 10 akaayy 2014-09-15 16:10:56 +08:00 1 QQ可以在不输入密码的情况下检测当前设置的密码的强度 http://www.zhihu.com/question/24434281 密码强度检测: https://aq.qq.com/cn2/psw_strength_check/pswcheck_index ------------------------------------ qq密码忘记了,找回密码申诉的时候,其中重要的一项是:请输入最后三次使用的密码。 (如果腾讯一直在用同一种加密方式,当然也可以比对。我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法,但是输入最近3次密码,却并不要求你输入使用密码的时间。所以我认为腾讯在很长时间甚至目前也使用了明文保存。或者根据本地法律,采用了有特色的明文保存) ------------------------------------ 谢谢 |
 | 11 taine 2014-09-15 16:38:40 +08:00 1 10亿 |
 | 12 iyaozhen 2014-09-15 16:58:14 +08:00 @akaayy “我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法。” 都是单向加密,如何不同时期采用不同的加密算法? “请输入最后三次使用的密码” 这个可能是根据输入密码和原密码的相近程度来判断账号的所有人吧。 密码强度检测估计是用了一些算法来判断密码中是否包含特殊字符、数字、字母等吧 以上在密文的情况下同样可以判断。 qq那么大的公司不可能明文保存密码的。 |
 | 13 LazarsX 2014-09-15 16:58:53 +08:00 |
 | 14 virusdefender 2014-09-15 17:04:17 +08:00 中国移动wlan业务 找回密码也是发送原密码 |
 | 15 budblack 2014-09-15 17:09:30 +08:00 @akaayy 个人认为检测密码强度应该没有必要代入明文密码,一个可信性方案是通过查表的方式测试密文的安全性.考虑到网页工具能即时返回结果,那可以推测是服务器上会在特定的事件发生时(比如密码或加密算法更新时)载入一个校验用户密码的强度的任务并随后将结果保存. 有了以上机制,至于更换加密算法的问题就不是问题了.以下均为臆想情节,请勿对号入座. 设想一下,如果密码库要改算法.在不依赖之前密文结果且不知道明文的前提下要如何转换?既然老用户能登录,那就得有一个密码版本标识和过度机制.这个转换模块也许在客户端也许在服务器.用旧算法验证密码后再用新算法计算新的密文保存. 我是这么想的,总不至于每次更新加密算法的时候都让用户手动重置密码吧? |
| 16 akaayy 2014-09-15 18:48:59 +08:00 @iyaozhen @budblack 两位同学都依据“那么大的公司不可能明文保存密码”作为结论反推出不用明文密码也可以做到这些。 需要注意的是,腾讯公司从来没有声明过他们会加密保存密码。 翻看腾讯公司的《隐私权保护声明》 http://www.qq.com/privacy.htm 通篇也没有提到加密二字。 ---------------------------------------------------------------------------------引用 您个人信息的管理 腾讯会在如下情形使用您的个人信息:(1)符合法律法规的要求;(2)根据您的授权;(3)符合腾讯相关服务条款、软件许可使用协议的约定; 腾讯不会未经允许向第三方披露您的个人信息。除非满足下述情形之一: (1)根据法律法规的规定;(2)符合您与腾讯之间的相关服务条款、软件许可使用协议的约定; 您个人信息的安全 腾讯严格保护您的个人信息安全。我们使用各种制度、安全技术和程序等措施来保护您的个人信息不被未经授权的访问、使用或泄漏。如果您对我们的个人信息保护有任何疑问,请联系我们。 ---------------------------------------------------------------------------------- 法律和制度是最优先的,根据这个描述和相关证据,我觉得腾讯公司的做法是加密和明文并存的方式。在高级别的权限中还是能查看明文密码的。 “这么大的公司”也可能做出不符合程序员思路的事情来。你们还记得google退出中国的原因吗 |
 | 17 txlty 2014-09-15 19:06:09 +08:00 @Livid @dong3580 @jun0205 @akaayy qq应该是可逆加密。去看下qq邮箱,用的RSA。没私钥是还原不出密码的。 http://res.mail.qq.com/zh_CN/htmledition/js/qmlogin1c9135.js 还有很多邮件通知发的明文密码,其实是可逆加密。不是明文。 另外,还有很多大网站登录时直接明文传递密码,这比明文存储更可怕。 |
| 19 akaayy 2014-09-15 19:15:34 +08:00 顺便说一下,我是腾讯qq的重度用户。 我觉得是否采用加密存储密码方式不代表技术的先进性与否,可能腾讯觉得以自己的技术可以做到明文密码不外泄。 是否采用加密存储密码方式同样不是安全性的保证/保障。高明的黑客可以跳过密码获取信息,要出卖你信息的网站不知道密码也一样可以出卖。 所以,相对而言,中小型网站更需要对密码进行加密,以免被社工。而像腾讯这种巨头,加不加密就那样吧。别人如果都获得了你在腾讯的密码字段,还有什么别人获取不了的呢。 |
 | 21 izoabr 2014-09-15 19:56:41 +08:00 中国联通的服务密码去年我测试还是发送原文到手机.还有wlan业务也是. |
 | 22 Automan 2014-09-15 19:59:07 +08:00 这年头不加盐的MD5也和明文差不多了 |
| 23 izoabr 2014-09-15 19:59:17 +08:00 我记得看过一篇文章,说政策方面有要求,就是某些机构需要的时候,会给网站主办方下个协查通知,要求提供某些用户的密码原文.所以CSDN和天涯才那样,后来被脱裤暴大问题.但刚才找了下找不到那文章了. |
 | 24 dorentus 2014-09-15 21:27:13 +08:00 @akaayy 用户希望密码加密主要是因为很多人在不同的站点是用同一个密码的,不希望因为一个站点的过失影响到其他站点的账户安全。 |
 | 25 lygmqkl 2014-09-15 22:37:59 +08:00 qq 应该是明文密码,可能有权限等级得感觉。核心库一旦开了。。。漏一点都是灾难。 |
 | 27 paulw54jrn 2014-09-15 23:42:54 +08:00 1 知乎那一个很可疑的 password varchar; https://gist.github.com/paulw54jrn/fe6c16b78449f6928662 |
 | 28 pandada8 2014-09-16 00:05:30 +08:00 via Android →_→不是为了上头方便拿到个人密码才明文保存的么 我记得在什么地方看到过有人说过……不过这是一条不负责任的随意回复…… |
| 29 iyaozhen 2014-09-16 01:25:45 +08:00 @akaayy 毕竟出了几件那么大的事情,连我自己开发的应用都把以前明文保存的密码全部加密了一遍。以前可能不是,现在更不可能是明文保存了。至于是不是可逆加密这个就不知道了,只是觉得没有什么业务需要查看密码对应的明文,没必要。 虽然说能接触密码的人很少,但腾讯那么多年了,接触过的人很多了,要是是明文的话早就被爆出来了。 至于google退出中国的原因,当年还小,还不会上网,不知道来龙去脉。请赐教。 |
 | 30 a128445 2014-09-16 03:24:29 +08:00 |
 | 31 O21 2014-09-16 06:57:43 +08:00 via iPhone 所有 whmcs 系统 很多卖vps 的用它 |
 | 33 timothyqiu 2014-09-16 09:05:05 +08:00 我记得 AcFun 赛门去年说过明文密码是「被要求的」: http://weibo.com/1420277134/zdfVK0oHJ |
| 35 dong3580 2014-09-16 09:51:46 +08:00 |
 | 36 lyragosa 2014-09-16 10:02:22 +08:00 2 大家都在说大型网站,我说一下小网站。 我自己的网站,用的是md5+sha1+注册时候随机决定的salt+根据注册时间决定的salt。后者的算法和整体产生hash的算法在程序中。 技术所限也只能做这样的加密了。偶有一日问一个朋友的网站,曰“搞这么麻烦没意义,我们要专精于业务部分,密码这种东西能明文就明文,还方便帮别人找”。 虽然“别人家的网站”的确做得比我好,但我还是认为无论网站大小,密码不能用明文并且要用复杂算法加密这应该是常识中的常识了。从此之后为了突出这一点,我在我的网站上特意注明了“你在本站注册的密码字符串将得到符合业界通行惯例的方式进行不可逆加密,包括管理员在内的所有人均无法读取你的密码。” 另外前面有说密码传递的……我只想说,除非HTTPS,否则在客户端加密基本上没什么意义……反而让客户端的自动保存密码软件失效。 另外,作为开发者,**根本不需要** 用户的密码就可以以这个用户的身份登录。所以什么方便测试啊,方便上头检查啊都是错的。你自己控制着后端程序,你甚至可以临时写一个万能密码之类的方便领导/测试人员/有关部门登录。 任何情况下,任何网站都没有任何理由存储用户密码原文。 |
| 38 izoabr 2014-09-16 13:00:00 +08:00 @lyragosa 可是"上头"要他的密码目的是为了要这个密码,然后去登陆别的系统之类的,不是为了这个网站的用户.你说CSDN有什么破东西能窥探的,肯定是第三方的. |
 | 39 vivalon 2014-09-22 10:49:12 +08:00 |
 | 40 imxsec 2019-08-18 18:09:14 +08:00 ICP 备案密码...明文的 |
Select Language