V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kstsca
V2EX  ›  信息安全

迅雷安全中心是否太过于牛叉,竟然可以用旧密码更改密码。。。。

  •  
  •   kstsca · 2013-12-27 08:44:31 +08:00 · 5134 次点击
    这是一个创建于 3985 天前的主题,其中的信息可能已经有所发展或是发生改变。
    27 条回复    1970-01-01 08:00:00 +08:00
    loading
        1
    loading  
       2013-12-27 08:55:31 +08:00 via iPhone   ❤️ 2
    我碰到过密码修改了其中一个字母提醒我和旧密码太相似的,我似乎明白了什么!
    x86
        2
    x86  
       2013-12-27 09:15:40 +08:00
    @loading 所以说别用常用密码→_→
    andrewpsy
        3
    andrewpsy  
       2013-12-27 09:20:54 +08:00
    可以用旧密码更改密码必须是坑爹的,但是新密码和旧密码相似不给用是很正常的做法,我们公司是存过去的六个密码.
    zhujinliang
        4
    zhujinliang  
       2013-12-27 09:21:37 +08:00
    @loading 一般hash算法要求改变其中一个字节使结果产生巨大的变化,故可反推:两次hash结果差异巨大->你的改动太小。恩,他们的程序员一定是这样做的。
    Mutoo
        5
    Mutoo  
       2013-12-27 09:25:23 +08:00
    @andrewpsy 明文吗。
    zhujinliang
        6
    zhujinliang  
       2013-12-27 09:27:47 +08:00
    一般hash算法要求改变其中一个字节(也会)使结果产生巨大的变化
    漏了两个字。。。瞬间笑果就差了劲了。。。
    loading
        7
    loading  
       2013-12-27 10:06:30 +08:00 via iPhone
    @zhujinliang 神逻辑!
    loading
        8
    loading  
       2013-12-27 10:08:49 +08:00 via iPhone
    @andrewpsy 敢问贵公司是?我要使用你们的产品,太人性化了!
    RIcter
        9
    RIcter  
       2013-12-27 10:41:30 +08:00
    所以那些csdn明文密码泄露什么的,实际上肯定是有一个字段存放散列过的密码,其他的保存有明文的。呸,怎么能这样。
    andrewpsy
        10
    andrewpsy  
       2013-12-27 11:36:38 +08:00
    @Mutoo
    @loading
    记忆模糊了,张口就胡说了.抱歉.去年夏天刚毕业加入公司的时候不知道我老板哪根筋搭错了让我同时在两个组工作,借用我的那个组当时在搞全公司平台的single sign on(SSO),我当时被分配到了user authentication和authorization相关的后台代码任务.给那个组干了一阵子发现不喜欢他们的老板我尝试渐渐疏远他们,最后利用一个机会莫名其妙的完全脱身了.实时证明我预感还是不错的:1.我自己组的老板人非常好,团队气氛很和谐 2.以前一起战斗过的那个组的小伙伴们跟我抱怨过他们PM提出的要求 3.我在自己组100%投入工作一阵子后两次评审都是优秀(涨工资发奖金),如果继续脚踏两只船估计两边都干不很好.
    为了回答你俩的疑问我翻看了当时的邮件找到了dev数据库登陆上去看了看,还找到了密码相关的要求(懒,代码没看),我们公司对旧密码的要求其实是不能使用过去用过的12个密码,对新密码和旧密码的相似度没有要求.
    https://www.dropbox.com/s/xb2sm1tn0gz8iwp/Screen%20Shot%202013-12-26%20at%2021.07.31.png
    andrewpsy
        11
    andrewpsy  
       2013-12-27 11:42:08 +08:00
    @loading 我们的产品不是面向普通消费者的.
    66450146
        12
    66450146  
       2013-12-27 11:46:31 +08:00
    @andrewpsy 如果能够判断密码相似度,那说明是明文存储或者是可逆加密。。。。不过不让用过去用过的密码是很正常的
    andrewpsy
        13
    andrewpsy  
       2013-12-27 11:56:34 +08:00
    @66450146 是啊,我回完贴后越想越不对,明明记得有hash和salt的啊,所以查了半天老的邮件才找到那个组的开发数据库服务器去验证一下,也翻出了那个项目对密码的要求没找到相似度项目。
    Mutoo
        14
    Mutoo  
       2013-12-27 12:05:06 +08:00
    @andrewpsy 你这图赶紧删了吧,算泄密了。
    andrewpsy
        15
    andrewpsy  
       2013-12-27 12:19:14 +08:00
    @Mutoo 开发数据库的伪数据其实无所谓,但还是删了吧。
    lizheming
        16
    lizheming  
       2013-12-27 12:38:34 +08:00
    @loading 话说一般修改密码的时候不是要求输入一次旧密码然后输入两次新密码的么?这样不就可以直接判断相似度了么?
    yangqi
        17
    yangqi  
       2013-12-27 12:42:07 +08:00
    @lizheming 忘记密码reset的时候是不需要输入旧密码的
    lanbing
        18
    lanbing  
       2013-12-27 12:42:20 +08:00
    @lizheming 上面讨论的问题关键在于不仅仅是最后一次的密码。。。
    ETiV
        19
    ETiV  
       2013-12-27 12:43:00 +08:00
    都没申诉过QQ?

    腾讯会要你输入几个以前用过的密码的...
    binux
        20
    binux  
       2013-12-27 12:50:20 +08:00
    人工申诉baidu也是,让你输密码,旁边还专门提示,记不清也没关系,客服会根据是否相似判断
    loading
        21
    loading  
       2013-12-27 12:52:16 +08:00
    @lizheming 忘了说明了,我那次是忘记密码后的邮件Reset,不然我就不拿出来说事了。
    lizheming
        22
    lizheming  
       2013-12-27 13:39:33 +08:00
    @yangqi @lanbing @loading 额,我只看到loading说修改密码嘛..没看到Reset..所以就问了问..
    yylzcom
        23
    yylzcom  
       2013-12-27 15:11:14 +08:00 via Android
    大家有没有想过用密码中单字进行加密然后进行相似度比较的情况?当然我不是说有哪个公司在这么做
    czz811
        24
    czz811  
       2013-12-27 16:38:05 +08:00
    gmail修改密码也是不能修改上次使用的密码
    MC
        25
    MC  
       2013-12-27 16:40:04 +08:00
    储存以前的旧密码和明文储存密码似乎是两码事吧,就算以加密形式存了你100个以前用过的密码,也无所谓吧。
    我倒是觉得这样的方式还是挺人性化的,反而有些公司存了明文密码之后滥用,还不承认的,就很令人恶心了(我遇到过)
    SoloCompany
        26
    SoloCompany  
       2013-12-27 21:34:24 +08:00 via Android
    把密码掐掉一个字符记录下来n-1个hash就能实现相似度不超过1个字符的检测了,当然密码太长的话只能少存几个就是了
    johnlui
        27
    johnlui  
       2013-12-27 23:21:00 +08:00
    @ETiV 他们讨论的是:如果没有输入旧密码的话,怎么知道新旧密码相似度?所以推出网站是明文存储的密码。
    你的疑问可以这样解释:虽然不能看到相似度,但是使用同样加密方式再次加密输入的密码,是可以直接对比和数据库中存储的旧密码的加密后值的,严格相等。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   900 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 20:47 · PVG 04:47 · LAX 12:47 · JFK 15:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.