RollingTruck 最近的时间轴更新 RollingTruck 最近的时间轴更新 |
RollingTruckV2EX 第 587798 号会员,加入于 2022-07-13 14:54:54 +08:00 |
RollingTruck 最近回复了
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 因为这个密码是用来给文件加解密的,丢了就不能解密了,文件内容就被完全锁死了,所以不能简单设置一个新密码
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
我刚才想了很久, 我觉得还是不该让服务器这边帮用户保管密钥. 密钥应该由用户唯一保管. 如果服务器有密钥, 那黑客拿到密文后, 有没有可能找服务器管理员进行交易, 或者控制服务器, 获取密钥? 这是一个很严重的安全问题
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 但是这个场景不能直接套一般的重置密码. 密钥派生看起来是可能的方向
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 常见设计应该都是服务器不存储密码, 也不提供密码找回服务. 相反, 用户忘记密码时, 也不是找回密码, 而是重置密码
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 我虽然没仔细看, 但估计大概就是这么个设计思路
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 服务器存储密码明文说的不太准确, 不是直接这么存储, 准确来说是密文+私钥, 通过解密得到明文
2025 年 7 月 14 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
@xuanbg 他要做一个找回密码功能, 所以需要在服务器存储密码明文, 以便后续发送给用户. 为了在服务器存储密码, 需要把密码安全地从客户端发送到服务器, 这个过程可能泄露密码, 因此用了 RSA 加密, 私钥存在服务器用于解密, 这样一来, 除了用户, 就只有服务器能获知密码, 或者是入侵服务器的黑客. 之后, 如果收到找回密码请求, 确认是用户本人操作后, 再把密码安全地传输给客户就行. 其实我感觉用 https 就行, 自己实现容易考虑不周导致漏洞. 此外, OP 不一定是真的应激了, 也可能是激将法增加讨论热度
2025 年 7 月 13 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
那这样设计我觉得没问题. 短信验证码力度还不够的话, 再加个邮箱验证
2025 年 7 月 13 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
但是这又回到经典套路了
2025 年 7 月 13 日 回复了 WngShhng 创建的主题 › 程序员 › 少数派发了一篇文章,偶遇“大神” fastQ |
那么我认为可以加一个手机号绑定, 如果用户想要获知密码, 应该通过发短信验明身份
Select Language