V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  wy315700  ›  全部回复第 274 页 / 共 322 页
回复总数  6423
1 ... 270  271  272  273  274  275  276  277  278  279 ... 322  
2014-12-25 16:53:10 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan 不管密码如何安全,MD5都不安全。

其实这里有一个误区,以为要找到相同的密码才可以,但是其实不然

其实需要做的是,找到和你原来密码md5值一样的密码,然后我就可以用那个密码进行登录了。

而MD5和SHA1的碰撞是相当容易的。




@nealfeng 1P你值得拥有,30美元而已,这么多密码绝对值这个价格。
2014-12-25 16:45:56 +08:00
回复了 jasonding 创建的主题 分享发现 信息泄露?推手?
撞库的吧,,,
2014-12-25 16:43:57 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan
比如使用 md5,sha1

比如没有salt,
比如使用 password + salt的简单方法


至于非对称加密,有一种挑战响应式认证标准

客户端产生私钥,服务器端存储公钥

认证的时候,服务器端发送一个随机字符串给客户端

客户端使用私钥签名后发回给服务器端。

服务器验证签名。

签名验证通过就算是通过认证了。



支付宝的数字签名系统就是这么工作的。
银行的u盾也都是这么工作的。
2014-12-25 16:37:33 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan 大部分不正常使用的hash和明文没本质区别的
真的

要真的安全性,上非对称加密才是真理
2014-12-25 16:28:00 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@Earthman
因为hash不是加密,hash只是一个单向映射函数。

我说的其实是单纯多次hash不能增加安全性,很多密码学教材里都有写,但是没写原因,我想了一下

b = hash(a)
c = hash(hash(a))

b和c的安全性是一样的

如果hash不可逆向,那么唯一的办法就是暴力搜索a,只不过一个要做一次运算,一个要做两次运算。

如果hash可逆,那么 a可以推出b,同理b也可以推出c



如果要用salt,建议采用安全标准里的hmac,而不是大部分系统采用的 hash(pass + salt)的方法

http://en.wikipedia.org/wiki/Hash-based_message_authentication_code
2014-12-25 15:45:47 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan 这么做 和你在12306设置一个密码,在alipay设置另一个密码 有什么区别呢。
2014-12-25 15:32:22 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan 你这个本质上和一个长密码效果是一样的,只不过这个长密码是你用hash计算出来的,
破解的时候,我不需要破解pass和salt,而只需要知道你本地hash的结果就可以登录到服务器了。
2014-12-25 15:27:16 +08:00
回复了 Yinz 创建的主题 信息安全 12306 被脱裤了,用过相关服务的小伙伴都抓紧改密码吧
@fo2w 国内安全上不去很大一部分是媒体原因,一点小事就炒得比天还高。
都没人证实一下就到处宣扬。

这个很明显是撞库的。
2014-12-25 15:09:11 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
@LukeXuan 我的意思是,你这种方法大家都在用了,是防止不了脱裤的。


@Layne 这种方法本质上不能增加安全性,安全性还是由原始的密码决定,只不过解密的时候多了个花密的解密而已,我记得密码学理论里有这么一句,多次hash不能增加安全性的。
2014-12-25 14:55:15 +08:00
回复了 LukeXuan 创建的主题 问与答 有关密码的一些思考
现在的问题不在这里,你密码弱的话,salt也没用。
2014-12-25 14:30:59 +08:00
回复了 Yinz 创建的主题 信息安全 12306 被脱裤了,用过相关服务的小伙伴都抓紧改密码吧
撞库撞出来的吧
2014-12-25 14:11:57 +08:00
回复了 ldehai 创建的主题 程序员 服务国内的网站,服务器放国外,如果不备案会有什么影响?
@Jack 上海备案不需要关站,2天就解决了
2014-12-25 10:22:14 +08:00
回复了 icedx 创建的主题 分享发现 虽然中国法律规定中国地区销售的手机不可以带有网络锁...
@icedx 全世界都有啊

三星的S4就有两个版本

WCDMA的用的三星芯片

LTE的用的高通





@ssenkrad 制式是技术问题,法律管不着,,,你总不能法律规定让Mac支持Windows软件吧。
2014-12-25 10:03:54 +08:00
回复了 icedx 创建的主题 分享发现 虽然中国法律规定中国地区销售的手机不可以带有网络锁...
@icedx 这个不叫定制

也不是运营商可以解决的

更不是中国运营商发明的
运营商定制机主要就是内置一些软件和服务。

美国的运营商都是加锁的,加锁什么意思呢,就是同样的制式,比如都是GSM的,你也不能换运营商。
iphone越狱合法,但是解锁是不合法的。

国内都是不加锁的,你拿移动定制的GSM手机去联通照样是可以用的,只不过可能APN要自己修改而已。


一款手机出厂的时候就决定了支持的制式
制式由基带决定。

苹果比较牛,ip 5s时代做到了全网通。
4s就不行,CDMA制式和其他的制式手机是分开卖的。
所以iphone以前有个C版

其他小厂就不行了,由于专利或技术受限,只能选择一部分支持

大家都知道 如果要支持CDMA就要给高通整部手机售价的5%的专利费



最后,我打个比方吧,同样的x86 CPU, 你把MAC的软件拿到Windows上就没法运行,你能说这个是因为定制造成的吗。
2014-12-25 09:52:25 +08:00
回复了 icedx 创建的主题 分享发现 虽然中国法律规定中国地区销售的手机不可以带有网络锁...
@icedx 3G时代 三大运营商各自拿到一张牌照啊

TD-SCDMA
WCDMA
CDMA2000

三个制式之间相互不会兼容啊,这不是锁的问题

你拿一个GSM手机去插电信卡肯定是不能用的

拿一个CDMA手机插移动联通卡肯定是不能用的
2014-12-25 09:45:51 +08:00
回复了 icedx 创建的主题 分享发现 虽然中国法律规定中国地区销售的手机不可以带有网络锁...
定制机不妨碍你用别的网的啊

除非是制式不支持
目测LZ的隐私已经被各大软件泄露了
2014-12-24 15:43:59 +08:00
回复了 esplendo 创建的主题 推广 乐享圣诞,喜迎新年抽奖活动(截止日期: 2015.1.2)
32041
1 ... 270  271  272  273  274  275  276  277  278  279 ... 322  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5231 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 102ms · UTC 05:45 · PVG 13:45 · LAX 21:45 · JFK 00:45
Developed with CodeLauncher
♥ Do have faith in what you're doing.