1
jinyang656 2017-11-15 12:01:29 +08:00
并不能
|
2
just1 2017-11-15 12:02:45 +08:00 via Android
大部分的厂商都有这个功能啊,比如 google
|
3
wenhaoy OP @jinyang656 为什么?如果是 hash 过的密码,他怎么检测?
|
5
hyperdak288 2017-11-15 12:06:35 +08:00
hash 过密码一样能检测。。
你再想想 |
6
wenhaoy OP @hyperdak288 hash 过的密码是不可能检测的,除非去拿弱密码库去穷举。否则,就是 hash 算法有问题
|
8
6IbA2bj5ip3tK49j 2017-11-15 12:11:02 +08:00
不能,G 家和 MS 都有这个功能,甚至还会提示你新密码和之前的密码重复。
|
10
wenhaoy OP @xgfan 新密码和老密码重复很好判断,hash 值一样就行了。G 家和 MS 可没有检测你现有账户的密码安全功能,只是在你修改密码是,他会检测一次,不合规不让设置
|
11
misaka19000 2017-11-15 12:13:12 +08:00 via Android
很简单啊,把密码做一下 hash 和之前的 hash 值比较一下不就行了,这和明文有什么关系?
|
12
qiayue 2017-11-15 12:14:55 +08:00
|
13
tghgffdgd 2017-11-15 12:15:58 +08:00 via Android
@imn1 弱密码的数量有多少个?纯数字 1 到 12 位?仅一个字母加数字又 1 到 12 位?。。。。。为何要这么麻烦?
|
14
wy315700 2017-11-15 12:16:55 +08:00
在你登录的时候检测不就行了
|
16
imn1 2017-11-15 12:31:25 +08:00
|
17
geelaw 2017-11-15 12:35:47 +08:00 via iPhone
当然不能证明,比如已经有人说了可以在登录的时候检查
|
18
just1 2017-11-15 12:39:49 +08:00 via Android
1.理论上所有厂家都能存明文,就算把代码和库公开你也能说是处理过的
2.不用想象得那么黑暗 |
20
dawn009 2017-11-15 12:42:10 +08:00
这年头谁也别信。老老实实一帐一密。
|
24
FFLY 2017-11-15 13:46:18 +08:00 1
稍微上点规模的公司,造个库有多难,写好算法让程序自己跑,一个库一天时间都不用。
还有,楼上说的加盐之类的,都不需要去讨论。弱密码库肯定是用相同算法做的,不存在不能比对的问题。 当然,这种方法是最简单粗暴的,腾讯这种体量的公司,更高层次的方法毫无压力。所以说,不要拿个人开发的视角去看企业的开发,你觉得很烦的事,在企业开发角度上往往是最简单有效的。 |
25
hyperdak288 2017-11-15 14:14:40 +08:00
@wenhaoy 穷举多大事阿,腾讯是买不起硬盘存数据还是买不起 CPU/GPU 穷举了
|
26
dot 2017-11-15 14:33:30 +08:00 via Android
检测密码强度的话,在你的密码转 hash 前检测一个强度结果,存起来,你每次访问都告诉你这个,就可行啦,不需要知道密码嘛~
|
28
changwei 2017-11-15 16:02:03 +08:00 via Android 2
腾讯以前找回密码的时候,即使填历史密码的片段,注意,是片段,也能找回成功。我用这种方法申诉,当时只填了历史登陆地点和历史密码的中间一个片段,居然成功了,所以从那开始我也怀疑腾讯是不是明文存储密码。
但是找不出其他什么强力证据来解释。希望腾讯官方什么时候能出来解答一下这些疑惑。 |
29
f2f2f 2017-11-15 16:13:35 +08:00
这个检测是本机 js 检测的,你以为是回传到服务器做检测的么?
|
30
wenhaoy OP @hyperdak288 我自始至终没说这是一个“大事”啊。刚看了腾讯去年的财报,我觉得应该可以买的起硬盘,也能买的起 CPU/GPU
|
31
Tokin 2017-11-15 16:22:33 +08:00
或许是自己的一套加密算法,然后支持解密。。。。
|
32
wenhaoy OP |
34
wenhaoy OP |
36
tscat 2017-11-15 16:40:38 +08:00
人家自己碰撞一次就知道了呗
|
37
am241 2017-11-15 16:43:31 +08:00 via Android
一个思路:在库里查一下相同 hash 的人有多少,大于一个值之后就提示密码强度太弱
|
39
IllBeBack 2017-11-15 16:51:55 +08:00
楼上各位讨论那么热闹,请问有没有做过登录系统的?
密码当然是明文上传到服务器,然后 hash,最后入库。 在 hash 之前,密码是明文,随便就检查了,如果是弱密码,直接返回 error,如果不是,那就 hash 入库。 |
42
wenhaoy OP |
45
FFLY 2017-11-15 17:31:23 +08:00
让我想到了,某些 linux 系统,安装的时候,如果设置一个弱密码,他不会不给你装,而是需要 done 两次提交,我觉得腾讯搞个字段记录数据强度是合理的吧。
|
46
goodboy531 2017-11-15 17:41:17 +08:00
主要就是支持解密,有秘钥就可以解密
|
47
wenhaoy OP @FFLY 这个有可能。但是有很多局限,比如某个人在十年前设置了一个仅带字母、数字的密码,系统至非弱密码 0。到现在这可能已经是一个弱密码了。这样的话会误报。
|
48
LaudOak 2017-11-15 18:51:11 +08:00
这个估计是有密码更改和对应强度记录
|
50
kiddult 2017-11-15 19:02:27 +08:00
@hyperdak288 真买不起,建议你查一下随机盐,除非腾讯真蛋疼的用固定盐,不然没戏
|
52
BlackCat02 2017-11-15 19:13:11 +08:00
@changwei 没人注意到这楼吗?想要做到只提供密码片段就能对比,这恐怕不存储明文做不到吧?
|
53
Tink 2017-11-15 19:15:40 +08:00
r 弱密码的 hash 做成一个表然后对比
|
54
IllBeBack 2017-11-15 19:18:52 +08:00
@wenhaoy 你的链接会跳转,我只能找到这个页面:
https://aq.qq.com/cn2/psw_strength_check/pswcheck_index 这个页面检测密码是要登录的。如果不登录就可以检测密码,那腾讯脑子进水了吧。盗号的先检测一下是不是弱密码,再字典爆破,省事多了。 如果要登录检测,明文密码不就到了服务器吗? 腾讯推出这个功能后,只要你登录过,你的密码是强是弱,他们就可以记下来了。 |
55
dot 2017-11-15 19:18:59 +08:00 via Android
@wenhaoy 权重是在一系列测评中的占比,这个可以调整的……不过,你有发现分值随着计算机能力动态变化么……
|
56
wenhaoy OP |
58
chztv 2017-11-15 19:56:08 +08:00 1
既然说到了快速登录,我认为这是非常一个有问题的功能
今年在办公室里,遇到过一个快速登录的 Bug,我同事的 Mac 居然在打开登录界面的时候,出现了我的 QQ 快速登录头像,当然也可以正常登录成功。后来排查,发现可能处于同一个 Wi-Fi、用了同 WiFi 下一个翻 Q 的 Http 代理。 |
59
loading 2017-11-15 19:59:33 +08:00 via Android 1
要假设都是明文保存,这样就安全了。
|
62
t123yh 2017-11-15 21:53:21 +08:00 via Android
腾讯库里面的密码是以 md5(QQ 号 + md5(password)) 这种形式存储的。
手机 QQ 登录的时候,会使用 md5(QQ + md5(password)) 这串数据加密一个数据包,然后发给服务器,而密码不会以其他形式发给服务器。因此服务器肯定存有这个数据,才可解密这个数据包。 |
63
xifangczy 2017-11-16 09:17:03 +08:00
不能
|
65
limitsy 2017-11-16 10:49:59 +08:00
哈哈哈 我想说。我的密码 检测结果 和 我点开。检测其他密码 然后输入一样的密码。强度是不一样的。。SO。这是不是能证明。不是明文存储?
|
66
IllBeBack 2017-11-16 11:00:35 +08:00
|
67
qinxi 2017-11-16 22:35:18 +08:00
|