三年前注册过的服务平台,突然发消息说注册口令为弱口令需要修改,注册完的口令不是都变 md5 了么?怎么判断弱口令的?
taobibi · 2020-01-04 23:47:18 +08:00 · 4385 次点击这是一个创建于 1771 天前的主题,其中的信息可能已经有所发展或是发生改变。
口令确实只有数字和字母。但是长度还是挺长的,没有符号和大写的这种。
现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
 |
1
Whsiqi 2020-01-04 23:48:40 +08:00 via Android
他们就是明文保存的
|
 |
2
mercury233 2020-01-04 23:50:47 +08:00  9
可能平台对自己搞了渗透测试,用常见密码和撞库测出来的
|
 |
3
whalegao 2020-01-04 23:54:30 +08:00 via iPhone
密码都会加盐。渗透测试测不出来的
|
 |
4
darknoll 2020-01-04 23:56:25 +08:00 via Android
数据库里面是加密的,但是你传过去的密码不是能看到么
|
 |
5
cydian 2020-01-04 23:59:01 +08:00 via Android
显然是明文
|
 |
6
sarices 2020-01-05 00:06:01 +08:00
将常用弱口令 hash 一下对比就知道了吧,如果你的密码很复杂,然后说是弱口令那可能有问题,你的密码是什么?
|
 |
7
Mac 2020-01-05 00:07:39 +08:00
撞库
|
 |
8
ziseyinzi 2020-01-05 00:13:32 +08:00 via Android
密码表
|
 |
9
Tianao 2020-01-05 00:16:08 +08:00
另一种可能——钓鱼消息。
|
 |
10
Rwing 2020-01-05 00:16:33 +08:00
撞库正解
|
 |
11
skyrem 2020-01-05 00:19:16 +08:00 via Android
如果是被拖库了不好意思说呢
|
 |
12
Sylv 2020-01-05 00:29:57 +08:00
也有可能是最近一次登录输密码时候检测的。
|
 |
13
Perry 2020-01-05 00:53:36 +08:00 via iPhone
以国内公司的尿性 怕是真的是明文储存
md5 反向是什么鬼 |
|
14
Perry 2020-01-05 00:56:25 +08:00 via iPhone
如果公司真的用的 md5 加盐,那得先把彩虹表撒点盐然后和存储的做比较,如果每个用户对应不一样的盐,那就可能要跑更久一点。总之只能过滤掉彩虹表里的弱密码,分析不出来密码是不是通过了强口令的要求(密码长度、有没有至少 n 个特殊符号等等)
|
 |
15
taobibi OP 额,那估计可能是撞库了,密码是 8 个数字+6 个字母的。我感觉现在国内公司应该还不敢明文存密码吧。印象中听说 csdn 明文存密码的时候我还是中学生呢
|
 |
16
imn1 2020-01-05 01:17:56 +08:00
这个要讨论么?
好多网站都有啊,一边输入,一边判断强弱,虽然只是前端,但在提交时加个字段 0/1,后端就知道强弱了 后端检查也可以,密码接收后、匹配前做个判断 为啥非要从库里提取逐个检查彩虹表这么麻烦? CPU 闲得慌? 如果直接显示出你的密码,那倒是要担心一下 |
 |
18
wzzzx 2020-01-05 01:39:06 +08:00 via Android
我觉得还有可能是他们事先跑过一遍弱密码了
|
 |
19
version0 2020-01-05 02:22:01 +08:00 via Android
数据库是 md5 的,但是你穿过去的密码在 md5 加密对比前可以知道是否是弱密码啊
|
 |
20
ClarkAbe 2020-01-05 02:50:08 +08:00 via Android
{pass_show:xxxxx,password:md5}
|
 |
21
msg7086 2020-01-05 05:50:45 +08:00 2
首先吧……你怎么知道网站「判断」了弱口令?
它就不能群发一遍? |
 |
22
airplayxcom 2020-01-05 06:28:11 +08:00 via iPhone
这有啥奇怪 就连 csdn 也存过明文密码 υ᷇(⚆•̫⚆)υ᷆
|
 |
23
Pastsong 2020-01-05 06:32:33 +08:00
下次登陆的时候 hash 前查一次不就好了(最近 Github 就是这么干的)
|
 |
24
loading 2020-01-05 09:54:00 +08:00 1
这段时间你登陆过吗?
如果有,那就是在你发送密码过去的时候验证的,如果一直没输入过密码,基本实锤明文。 |
 |
26
marcomarco 2020-01-05 09:57:33 +08:00 via iPhone
注册或修改密码时会给你的密码进行强度评级并把评级保存啊,如果是低级的就给你发信息呗。
|
 |
28
jugelizi 2020-01-05 10:31:06 +08:00 1
真怀疑你们是真的程序员吗
回答的感觉没写过代码 |
 |
29
agdhole 2020-01-05 10:43:32 +08:00
可能他们发现已经跑路的程序员用的是 md5,而 md5 不是加密算法
|
 |
30
miao 2020-01-05 11:06:32 +08:00
也可能这个平台给所有人群发的邮件用的都是同一个内容.
|
 |
31
feng12345 2020-01-05 11:07:56 +08:00 1
极大概率是收到消息被脱裤了,又不好意思光明正大的说,只能这么提示了 楼上都是从程序员的角度看问题
|
 |
32
Tink 2020-01-05 11:26:18 +08:00 via iPhone
这个简单啊,搜集常见的弱密码然后 md5 加密再对比就可以了
|
 |
33
locoz 2020-01-05 11:26:30 +08:00 via Android 1
被脱库 /撞库+1。
换位思考一下,正常情况即使之前没有弱口令检测的设定,现在突然加上了也不应该对旧的密码全部扫一遍,费力不讨好,没啥必要。 即使要扫一遍,也不能证明他们存储时就是存的明文。没加盐的话可以直接上彩虹表,加了盐的话可以把弱口令字典按规则做一遍 hash 再匹配,效果也是一样的。( cmd5 之类的“md5 破解”平台其实就是这个原理) |
 |
34
gamexg 2020-01-05 11:41:47 +08:00 via Android
用已泄漏密码库的密码撞
|
 |
35
h123123h 2020-01-05 11:44:08 +08:00 via iPhone
会不会是你最近登录过,你登录的时候如果是弱口令他记下来然后再发消息给你
|
 |
36
laoyur 2020-01-05 12:35:40 +08:00 1
古代几个农民在讨论皇帝是不是用的金锄头
此事一楼绝壁是真相了 |
|
37
taobibi OP @imn1 不是新注册的时候判断弱口令的,三年的老账号了。近期登陆过,所以我感觉也有可能是近期登陆的时候采集的明文进行提醒的。口令不是常用的弱口令,只是没有大写和符号。
|
 |
39
iamverylovely 2020-01-05 17:04:37 +08:00 via Android
加密后的结果不是一样的吗? count*
|
|
40
iamverylovely 2020-01-05 17:06:40 +08:00 via Android
统计密码 md5 在数据库出现的频率。
|
Select Language