V2EX › wy315700 的所有回复 › 第 271 页 / 共 319 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 267 268 269 270 271 272 273 274 275 276 ... 319

❮

❯

2014-12-26 10:47:51 +08:00

回复了 nightar 创建的主题 › 问与答 › 如果学校监控记录学生的上网行为，有什么反监控的办法么？

这是上峰要求的

所有提供公共网络服务的必须保留三个月以上的访问记录

包括但不限于：学校，酒店，网吧，咖啡店，小区

2014-12-26 09:16:06 +08:00

回复了 hzqim 创建的主题 › 问与答 › 看见大家都谈论购买软件来保管密码，真有必要吗？

27美元买的1P，

个人认为，保存的密码完全超过这个价值了

2014-12-26 09:15:19 +08:00

回复了 webjin 创建的主题 › 问与答 › 12306 数据库信息是真的被泄露了？我有话要说

都说了，撞库的，
就是有人要乱猜测。

2014-12-25 17:02:04 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan

sha2家族还可以用

sha256 sha512之类的还都可以用。

2014-12-25 16:53:10 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan 不管密码如何安全，MD5都不安全。

其实这里有一个误区，以为要找到相同的密码才可以，但是其实不然

其实需要做的是，找到和你原来密码md5值一样的密码，然后我就可以用那个密码进行登录了。

而MD5和SHA1的碰撞是相当容易的。

@nealfeng 1P你值得拥有，30美元而已，这么多密码绝对值这个价格。

2014-12-25 16:45:56 +08:00

回复了 jasonding 创建的主题 › 分享发现 › 信息泄露？推手？

撞库的吧，，，

2014-12-25 16:43:57 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan
比如使用 md5,sha1

比如没有salt，
比如使用 password + salt的简单方法

至于非对称加密，有一种挑战响应式认证标准

客户端产生私钥，服务器端存储公钥

认证的时候，服务器端发送一个随机字符串给客户端

客户端使用私钥签名后发回给服务器端。

服务器验证签名。

签名验证通过就算是通过认证了。

支付宝的数字签名系统就是这么工作的。
银行的u盾也都是这么工作的。

2014-12-25 16:37:33 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan 大部分不正常使用的hash和明文没本质区别的
真的

要真的安全性，上非对称加密才是真理

2014-12-25 16:28:00 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@Earthman
因为hash不是加密，hash只是一个单向映射函数。

我说的其实是单纯多次hash不能增加安全性，很多密码学教材里都有写，但是没写原因，我想了一下

b = hash(a)
c = hash(hash(a))

b和c的安全性是一样的

如果hash不可逆向，那么唯一的办法就是暴力搜索a，只不过一个要做一次运算，一个要做两次运算。

如果hash可逆，那么 a可以推出b，同理b也可以推出c

如果要用salt，建议采用安全标准里的hmac，而不是大部分系统采用的 hash(pass + salt)的方法

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code

2014-12-25 15:45:47 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan 这么做和你在12306设置一个密码，在alipay设置另一个密码有什么区别呢。

2014-12-25 15:32:22 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan 你这个本质上和一个长密码效果是一样的，只不过这个长密码是你用hash计算出来的，
破解的时候，我不需要破解pass和salt，而只需要知道你本地hash的结果就可以登录到服务器了。

2014-12-25 15:27:16 +08:00

回复了 Yinz 创建的主题 › 信息安全 › 12306 被脱裤了，用过相关服务的小伙伴都抓紧改密码吧

@fo2w 国内安全上不去很大一部分是媒体原因，一点小事就炒得比天还高。
都没人证实一下就到处宣扬。

这个很明显是撞库的。

2014-12-25 15:09:11 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

@LukeXuan 我的意思是，你这种方法大家都在用了，是防止不了脱裤的。

@Layne 这种方法本质上不能增加安全性，安全性还是由原始的密码决定，只不过解密的时候多了个花密的解密而已，我记得密码学理论里有这么一句，多次hash不能增加安全性的。

2014-12-25 14:55:15 +08:00

回复了 LukeXuan 创建的主题 › 问与答 › 有关密码的一些思考

现在的问题不在这里，你密码弱的话，salt也没用。

2014-12-25 14:30:59 +08:00

回复了 Yinz 创建的主题 › 信息安全 › 12306 被脱裤了，用过相关服务的小伙伴都抓紧改密码吧

撞库撞出来的吧

2014-12-25 14:11:57 +08:00

回复了 ldehai 创建的主题 › 程序员 › 服务国内的网站，服务器放国外，如果不备案会有什么影响？

@Jack 上海备案不需要关站，2天就解决了

2014-12-25 10:22:14 +08:00

回复了 icedx 创建的主题 › 分享发现 › 虽然中国法律规定中国地区销售的手机不可以带有网络锁...

@icedx 全世界都有啊

三星的S4就有两个版本

WCDMA的用的三星芯片

LTE的用的高通

@ssenkrad 制式是技术问题，法律管不着，，，你总不能法律规定让Mac支持Windows软件吧。

2014-12-25 10:03:54 +08:00

回复了 icedx 创建的主题 › 分享发现 › 虽然中国法律规定中国地区销售的手机不可以带有网络锁...

@icedx 这个不叫定制

也不是运营商可以解决的

更不是中国运营商发明的
运营商定制机主要就是内置一些软件和服务。

美国的运营商都是加锁的，加锁什么意思呢，就是同样的制式，比如都是GSM的，你也不能换运营商。
iphone越狱合法，但是解锁是不合法的。

国内都是不加锁的，你拿移动定制的GSM手机去联通照样是可以用的，只不过可能APN要自己修改而已。

一款手机出厂的时候就决定了支持的制式
制式由基带决定。

苹果比较牛，ip 5s时代做到了全网通。
4s就不行，CDMA制式和其他的制式手机是分开卖的。
所以iphone以前有个C版

其他小厂就不行了，由于专利或技术受限，只能选择一部分支持

大家都知道如果要支持CDMA就要给高通整部手机售价的5%的专利费

最后，我打个比方吧，同样的x86 CPU，你把MAC的软件拿到Windows上就没法运行，你能说这个是因为定制造成的吗。

1 ... 267 268 269 270 271 272 273 274 275 276 ... 319

❮

❯