V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
delavior
V2EX  ›  问与答

好奇密码是怎么泄漏的

  •  
  •   delavior · 2016-04-04 09:09:42 +08:00 · 2705 次点击
    这是一个创建于 3154 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是从数据库里获取的吗?数据库存密码一般不会是明文吧?是怎么解密的?
    15 条回复    2016-04-04 14:02:49 +08:00
    tcdw
        1
    tcdw  
       2016-04-04 09:22:40 +08:00 via Android
    比如说, http://www.cmd5.com
    codesaler
        2
    codesaler  
       2016-04-04 10:02:18 +08:00
    部分站是有人为原因,之前接触过一个站,技术人员直接明文存登录和注册时所有输入的用户名和密码到特定的文本文件(不论对错)...
    所以在小站上注册登录要注意
    delavior
        3
    delavior  
    OP
       2016-04-04 10:06:26 +08:00
    @tcdw 这个是有密码库吧, md5 一般人哪能解密。但是密码库的话只是一些常用密码吧, 6 - 12 位密码只用数字和大小写字母就有 10 的 20 次方种组合了,再加上特殊字符,密码库哪能覆盖全。
    int64ago
        4
    int64ago  
       2016-04-04 10:07:31 +08:00
    呵呵 我不会告诉你很多都是直接修改的后台代码……
    delavior
        5
    delavior  
    OP
       2016-04-04 10:07:50 +08:00
    @codesaler 毕竟少,像某易这种肯定不能出这种情况
    delavior
        6
    delavior  
    OP
       2016-04-04 10:08:24 +08:00
    @int64ago 那就是内部人员喽
    kindjeff
        7
    kindjeff  
       2016-04-04 10:11:32 +08:00
    很可惜当年的 CSDN 就是明文,我的第一个账号的密码在社工库依然可以查到……可以去听上一期的 teahour 。
    int64ago
        8
    int64ago  
       2016-04-04 10:23:12 +08:00
    @delavior 修改后台代码并不需要内部人员啊
    congeec
        9
    congeec  
       2016-04-04 10:26:16 +08:00
    @delavior 彩虹表喽。密码库不能全部覆盖,不过能覆盖常用的
    Khlieb
        10
    Khlieb  
       2016-04-04 10:31:42 +08:00 via Android
    badcode
        11
    badcode  
       2016-04-04 10:36:33 +08:00
    shiji
        12
    shiji  
       2016-04-04 11:00:17 +08:00
    也有可能早期都是 http 明文登录,即使有的加密了,手机端网页登陆可能还是明文(比如人人网)。如果骨干网络设备被搞了,数据能拿到让你手发软。
    gamexg
        13
    gamexg  
       2016-04-04 13:07:47 +08:00 via Android
    彩虹表也无法应付加随机盐的密码,这次 163 原始密码泄露表示安全性堪忧。
    caixiexin
        14
    caixiexin  
       2016-04-04 13:51:50 +08:00 via Android
    各种安全事件暴露的库,也是后续攻击的样本。
    所以一号一密真的挺重要啊
    wolfan
        15
    wolfan  
       2016-04-04 14:02:49 +08:00 via Android
    有句话叫作,出来混迟早要还的。
    所以对于这些,表示无所谓了,反正除非支付宝,微信这样涉及小钱钱的账号会单独用个密码方案外,其它的随便了,反正保不齐那天支付宝也得被脱
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5770 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 02:29 · PVG 10:29 · LAX 18:29 · JFK 21:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.