V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Oucreate
V2EX  ›  问与答

居然 Google 也有"Enter the last password you remember",难道它也保存着密码明文?

  •  
  •   Oucreate · 2015-05-10 16:31:19 +08:00 · 4211 次点击
    这是一个创建于 3484 天前的主题,其中的信息可能已经有所发展或是发生改变。
    不久前吃惊地发现在Google重置密码时也有这一步(可跳过)。

    因为Hash差一个字符都面目全非,再加上我觉得谷歌对于40位以上的长密码应该不会浪费资源反向解密,所以我好奇谷歌是不是保存着原明文密码。

    (但是对于同样要提供尽可能记得的原密码的腾讯、新浪等中国公司,不是怀疑而是相信肯定存有明文啦。)
    15 条回复    2015-05-10 23:09:46 +08:00
    sumhat
        1
    sumhat  
       2015-05-10 16:33:54 +08:00
    会保存以前用过的密码,商业版用户重置密码不得与之前用过的 100 个重复。

    当然……保存 Hash 这种技术,在 MD5 时代就解决了 -_-
    wy315700
        2
    wy315700  
       2015-05-10 16:36:21 +08:00   ❤️ 1
    为啥你会相信明文,我保存密码的密文不也一样吗。
    casparchen
        3
    casparchen  
       2015-05-10 16:37:16 +08:00 via iPad
    为什么不可以存hash?然后比较last password的hash?
    imn1
        4
    imn1  
       2015-05-10 16:38:11 +08:00
    不明白为何想到明文密码这点上去?
    imlonghao
        5
    imlonghao  
       2015-05-10 16:52:27 +08:00 via Android
    不明白为什么会想到存明文密码

    难道我就不可以存下你每一次密码的密文吗?
    sengxian
        6
    sengxian  
       2015-05-10 16:58:50 +08:00   ❤️ 1
    楼主的意思是说:以前的密码不一定可以完全写对,但只要八九不离十就能通过;但对于两个相似度极高的密码,hash值却大不同,所以要实现这个功能,想到了明文密码吧。
    243205964
        7
    243205964  
       2015-05-10 17:01:13 +08:00
    @sengxian 我觉得应该必须完全写对,不然我猜某个人的习惯改某人的密码不是很随意吗?
    sengxian
        8
    sengxian  
       2015-05-10 17:03:47 +08:00
    @243205964 申诉不是只这一项就可以找回的,记得我以前申诉我的QQ填了好多信息才过
    wy315700
        9
    wy315700  
       2015-05-10 17:04:30 +08:00   ❤️ 2
    cszhiyue
        10
    cszhiyue  
       2015-05-10 17:11:38 +08:00
    @wy315700 应该不能是simhash,如果是simhash那不是有助于破解密码?
    msg7086
        11
    msg7086  
       2015-05-10 17:15:07 +08:00
    而且这不难理解吧。
    如果你改过一次密码,但是输入的是修改之前的密码,Google一样会提醒说,你是不是输入了旧密码?
    Felldeadbird
        12
    Felldeadbird  
       2015-05-10 17:46:04 +08:00 via iPhone
    有 一种可能,如果输入错误大于指定位数,应该验证你失败。就像我旧密码为123456
    我输入了12345 谷歌在自动补全几个位数的哈希值进行旧记录匹配。
    这样就不用明文保存,也可以验证完整性。
    caomu
        13
    caomu  
       2015-05-10 18:40:24 +08:00 via Android
    @Felldeadbird google哪知道你hash前密码的位数。。。
    binux
        14
    binux  
       2015-05-10 18:44:41 +08:00 via Android
    @wy315700 simhash 对于短文本毫无用处
    ryd994
        15
    ryd994  
       2015-05-10 23:09:46 +08:00 via Android
    @Felldeadbird 不错的想法,分片hash,然而密码一共也没多长……
    @caomu 为什么不知道?密码明文发送啊,加密交给https
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2658 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:34 · PVG 13:34 · LAX 21:34 · JFK 00:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.