第一次见到 12306 这样的密码要求.

说明密码就是明文存的

@sunwei0325 这看不出来吧...

试了一下，无法复现 ___AAA111
楼主可以给一个复现的例子

是很奇葩啊，刚改不久，随机了一堆字符串后，想手动加点符号，结果只能加几个下划线。

是除了字母和数字，只能用下划线，而不能用其他符号的意思吧？

所以不允许用 @#()/\+-这类符号是为了输入密码方便么？

我猜是为了防止 sql 注入的做法，只允许下划线怎么拼凑都成不了 sql 语句

@sunwei0325 求教这是怎么看出来的。

@sunwei0325 怎么说？

我今天也刚改了，就是有这种无理的要求！
（使用 LastPass 自动生成的密码，提示见楼主图片

@opengps 都 2018 年了，防 sql 注入还在靠限制密码强度来做，这是无能的表现。

从来不在 12306 买票，我也没有坐火车的需求
出门都是骑车，坐公交车或者地铁，比较远的就开车，再远一点的就坐飞机了

@sunwei0325 扯淡呢明文

@KasuganoSoras 为什么不坐火车

是不是拿\w 正则校验的？这个只允许大小写、数字和下划线

还有这个 

@bestie 用手机 app 随时复现

早在第一次 12306 被传拖库的时候我发现了这一奇葩规定
但是我注册的时候并没有要求这些，所以我的密码中也特殊字符

@sunwei0325 脑路清奇，怎么个理由？说说！不能为了喷而喷昂

用户密码和被拖库有撒关系？用户密码高复杂度不是为了防治撞库登陆？但一般不是有试错次数限制的吗?

sql 注入倒是一个可能，但这么大的网站设计之初如果不防范这个很难理解啊。

@KasuganoSoras #12
惊了，从来没坐过？

@Osk #2
@KINGSHINE #13
@citydog #19
如果仅限这三种组合，有可能吧(毛骨悚然)，密码输入框只接受 _ 字母 数字 ，可以用最粗暴的办法杜绝 SQL 注入？义啥的都得用到各种符号，一刀杜绝

@dtsover #21 咱们的套路不就是，可以一刀切的，为啥要搞那么多花样，还得花钱

昨天去注册提交时候提示没填写国家地区，但页面根本没这个选择的，审查元素发现是设置了 displaynone，去掉后选择才能正常注册，莫名其妙。

@sunwei0325 抓个包看看都知道不是明文存的吧

你的至少还有提示，不知道你见过这样奇葩的没：
（我一般密码中喜欢带一个特殊字符，这是前提）
有的网站，在登录的 pwd 框中，不允许你输入特殊字符，是不允许。即，他把你输入的特殊字符直接 ignore，且不告诉你，不告诉你 （因为 pwd 狂都是*，你也很难觉察）。但是 mmp 的，在更改密码的时候，那个输入框却又允许你输入特殊字符！
然后我某次改了密码之后，就他喵的死活登录不上去了！！！

防止你们用密码生成器吗 2333

@opengps 就算输入注入的代码也无所谓，反正最后要进行加密算法的，入库和对比都是加密后的数据....

简单想一想，会不会只是单纯地是产品经理这样要求而已

什么时候的事，我昨晚手机端改密码没有这个提示

@opengps 我第一反应也是防 sql 注入，不过想想应该不是这个原因，防 sql 有其他方法，不至于用限制密码这个手段

@Osk
@masker
@yzkcy
@KINGSHINE
@citydog
@jasonsui

我猜一楼的想法就是：12306 为了防止 sql 注入，但是之前有大量代码拼接 sql 语句的情况下。如果密码 hash 后进入 sql 语句，是不需要对密码做这种规定的。那么 12306 既然这么做，就很有可能是因为密码是明文拼接进 sql 语句。

都 9201 念了，12306 没那么 low，明文存密码。

昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了

1 楼是神人....

这都能看到是明文存储的?

哈哈哈... 怕不是一次登录注册都没写过吧....

App 修改密码就是不能有特殊字符

12306 的密码表现行为不是为了安全原因，而是基于大众普遍的记忆偏好，尤其是父母年龄段的用户群体，对密码的记忆时长出现错乱的情况，特殊符号很难记忆并且很多人无法打出来。

@linpf

我觉得解释太牵强。防止 SQL 注入有很多种方式，完全没必要这样。

而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的，否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。

我觉得应该是有别的什么原因，以前注册别的网站，也有过用户名及密码只能是数字、字母和下划线的组合。

@KasuganoSoras 惊了！这么有软妹币的嘛小老弟

我倒觉得，更大可能性是 12306 使用群体的问题，铁路部门很多奇葩规定都是有原因的。这个猜一下，会不会因为太多人使用了带有特殊符号的密码又记不住又不会重置找客服，类似这样的原因，导致做了这个规定。什么防止 SQL 注入之类的猜测感觉不是特别靠谱。我也只是一猜。

@lvxiang119 #38 我刚也猜是这个原因，你这么说是知道实情吗？还是也是猜测的。

网曝 12306 账号暗网泄露：60 万账号、410 万联系人数据低价卖
https://www.ithome.com/0/402/936.htm

昨天中午的事儿，暗网上出现了一批 12306 用户数据，，懂了 8

@cojing #43 这么点数据量，哪个抢票平台上漏的吧，和 12306 没有一点关系。

@loveour 如果真的是防止忘记，就应该完全不限制密码规定，让用户用一个最顺手的密码。我常用的密码又没有大写也没有特殊符号，像苹果那种网站，又要求大写又要求带特殊符号，我只能想一个不常用的密码，这样才更容易忘记

@DnC 网易就这样的

各位大哥，没注意实体小键盘吗？只能字母加数字加下划线 猜测是这方面的考虑。

@linpf #45 什么密码更安全其实也是经过争议和认识的改变的。比如之前某些单位会要求定期修改密码，结果后来发现，如果这样做，密码就会越来越简单，反而不利于安全了。不同的网站就是对密码的要求不一样，我也不知道 12306 是经历了什么所以这么规定，之前的回复也说了是我的猜测。

@loveour 猜测是 实体小键盘

@liuzhedash 火车坐过，不过是直接去车站买的票，没有在网上订过票

@yzkcy #39 12306 当年的第一版，很难说是不是明文存密码，第一次等保测试的时候肯定是上线之后的事情了。我个人认为 12306 早期就是靠这个密码规则防注入的，不要高估有关决策者的专业能力。

海心地命。

我觉得楼主吐槽的点是“只能两种的组合”，而不是“符号只能下划线”，难道是我理解错了？虽然只能下划线也很奇葩。

@shanigan 现代社会防止黑客入侵的方式最好还是物理层面完全断网

虽说 12306 不咋滴，难道我还能不用吗。。。就算是坨翔，还不是的忍着吞下去？？？

@jifengg
截图上明明白白地写着「不少于两种」，不知道楼主怎么解读成「只能为字母和数字或下划线中的两个的组合」的。

@sunwei0325 只怕能登陆注册都没写过吧。。。

@TrembleBeforeMe ...你看看红色的提示...难道我复制少了?