为什么有些服务商不允许密码含有"特殊字符"？

27 条回复 • 2015-07-24 17:22:12 +08:00

1

abelyao

2015-07-24 11:22:59 +08:00

之前也会觉得挺无语的，因为加密存储的话也没多大关系了啊。
后来发现可能是因为：
1、密码被破解，要么是被社工，要么被字典，网站被暴力破解的几率太低了，一般都有做几次错误就不让尝试的一道关卡；
2、弄特殊字符并不能让整个密码变得更安全，但却会让用户输错密码、忘记密码的几率提升；

2

dorentus

2015-07-24 11:25:21 +08:00

@abelyao
允许特殊字符并不会让用户输错密码、忘记密码的几率提升啊

强制要求特殊字符或者强制要求不包含特殊字符，导致用户没法用自己常用的密码，才会让用户输错密码、忘记密码的几率提升

3

abelyao

2015-07-24 11:27:35 +08:00

@dorentus 也是，但是常用密码就容易被社工了。符合自己的“密码规则”确实是更不容易弄错。

4

abelyao

2015-07-24 11:28:33 +08:00

@dorentus 那么除了这点，目前我想不出还有其它原因是不让用特殊字符了，除非，网站要明文记录密码，并且懒得做字符编码处理。

5

iqav

2015-07-24 11:32:50 +08:00

不好意思，问个题外话
为什么我表发帖子，自动沉了，时间变成4天前。
明明刚发表，就被沉到4天前。。。
不解。

6

wy315700

2015-07-24 11:37:40 +08:00 via iPad

防止编码问题吧
比如跨平台的时候，安全键盘里没有输入法。

7

publicID001

2015-07-24 11:43:31 +08:00

楼上几位是不是想多了，大多数情况下这种网站不是直接拼接SQL语句插明文密码进数据库的么？

8

abscon

2015-07-24 11:49:39 +08:00

@publicID001 拼接SQL语句插明文密码，不做参数化查询么？

类似于这样的密码 123456'); DROP TABLE table;--
分分钟教这种网站做人

9

publicID001

2015-07-24 11:56:33 +08:00

@abscon 2333所以不允许你用"特殊字符"嘛

10

imn1

2015-07-24 12:00:07 +08:00

@iqav
呵呵，现在轮到你了？11年注册也不是新用户了
这个问题从去年底（V2某次迁徙）开始困扰我8个月，@L大也没回响，就基本不怎么发帖了
本月初一个问题忍不住问了，惊奇发现不再是“2天前”

感觉自己也没做过什么改动，非要说变化的可能就是：
firefox 升到39.0
上个月把 lastpass 禁用了（也没其他密码记录扩展）
上个月活跃度比之前高了些，但也不过是那个进度条刚刚见到绿色而已
把 v2ex DNS转为 udp 解析（之前用 tcp，多数是连到美西服务器），现在基本是连到国内服务器
强制 https，不过这个是去年中就这样，应该跟这个没关系

11

some0ne

2015-07-24 12:00:46 +08:00

@abscon 你这个密码里面没一个特殊字符啊搭配shift全都能打出来。特殊字符是一定要用输入法打出来才能叫特殊字符吧比如：⑨

12

PublicID

OP

2015-07-24 12:03:15 +08:00

@imn1 我最近发帖也是这样，刚发布的提示X天/小时前

13

tobyxdd

2015-07-24 12:33:10 +08:00 via Android

@imn1 同如果是人为的也许是我之前喷人来着。。

14

tabris17

2015-07-24 12:36:28 +08:00

因为总有一些自以为是的傻逼产品经理啊

15

iqav

2015-07-24 12:45:17 +08:00

@imn1 我这里已经有几天了，新发的贴子就沉了，也就没有人关注，没有互动，没啥用。
如果这不是 BUG 的话，那可能就是一种机制，最近我的绿色进度条总是跑得特别快。

16

br00k

2015-07-24 12:51:39 +08:00

碰到几个好坑的网站，注册的时候密码能包含特殊符号，登陆的时候就不支持了。当场就直接sb了。

17

abscon

2015-07-24 13:01:58 +08:00 via iPhone

@some0ne 我回复的是7楼，关注点不是特殊字符而是安全

18

Gandum

2015-07-24 13:13:02 +08:00 via iPhone

后遗症吧，以前肯定会有不少硬拼语句直接插入明文密码进数据库的，虽然现在都是框架自动处理，但毕竟都习惯了

19

userlogin

2015-07-24 13:30:45 +08:00

@iqav 新账号的权重低，帖子的排序会靠后，时间会提前。
@imn1 之前你也看过Livid关于时间的解释了，无非是活跃度和注册时间长短的问题，不懂你为什么还要扯其他环境改变的问题，比较容易误导人。

20

lshero

2015-07-24 13:34:00 +08:00

话说插入数据库后的不应该都是哈希过后的嘛，为啥还会担心特殊符号呢？
我感觉是不是有些网站苦于XSS 然后又懒得防就用WAF之类的统一过滤
所以就整出了一个这个策略？

21

czz811

2015-07-24 13:36:01 +08:00

这算什么，还有的网站要求密码不能超过8位呢

22

imn1

2015-07-24 14:03:08 +08:00

@userlogin
如果是这样只能说我也被误导了
之前就@过L多次，也在反馈节点问过，基本没回复，其他人说的注册时间问题逻辑上根本说不通，因为在出现这个问题前有近半年时间发帖都是显示几分钟前的，就是迁徙后某天开始发帖就变成8小时、2天前，毫无预兆，活跃度也高于之前（至少回帖数量是），不同机器、不同系统一样如此。所以要么就是服务器问题（这点没有得到v2回应），要么就是自身环境问题了

23

iqav

2015-07-24 14:10:23 +08:00

@userlogin 我的号是11年的，也算是老号来的了。
https://www.v2ex.com/t/207666#reply2
你可以看下这个贴子，主题发完后我觉得异常，就截图回复，这里前后都不超过10分钟。截图里的发表时间却变成4天前。

如果这是正常的，故意机制，那我也理解了，那我以后少发贴子。
但要是 BUG 的话，那我希望更多人知道。
只是确认一下。

24

chinassl

2015-07-24 16:08:28 +08:00

国外的系统大多是允许特殊字符，国内大好多不可以

25

wy315700

2015-07-24 16:10:35 +08:00

@iqav

每个ID有权重的

26

7654

2015-07-24 16:22:11 +08:00

某一个神奇的网站我怀疑是明文存储的密码，因为我的密码里有它后来禁止的字符（查看JS得知）
每次登录后都提示我帐号密码安全性过低，让我改密码
那串密码有大小写字母数字和特殊符号，所以不存在安全性底，在其他地方没有出现过相同密码
给出那串提示，要么被脱过库要么明文存储

27

leavic

2015-07-24 17:22:12 +08:00

防止注入？