V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  yyfearth  ›  全部回复第 144 页 / 共 170 页
回复总数  3385
1 ... 140  141  142  143  144  145  146  147  148  149 ... 170  
2011-12-30 19:53:21 +08:00
回复了 ectotherm 创建的主题 macOS OS X下的同步工具,除了Windows Live Mesh还有选择吗?
@ectotherm 此外,我用过的还有syncplicity和sugersync,都支持mac和win以及智能机。而且文件夹管理很强大,上传下载有进度,比dropbox强大。但是没有dropbox方便快捷。
2011-12-30 19:46:09 +08:00
回复了 ectotherm 创建的主题 macOS OS X下的同步工具,除了Windows Live Mesh还有选择吗?
xp 下载linkd.exe或者junction.exe
2011-12-30 19:45:36 +08:00
回复了 ectotherm 创建的主题 macOS OS X下的同步工具,除了Windows Live Mesh还有选择吗?
@ectotherm mac: ln -s
win7 mklink
2011-12-30 19:11:19 +08:00
回复了 richiefans 创建的主题 分享发现 有要团购Alfred的吗 发现k版用不了了
太贵了,而且要求under one roof,团购意义不大啊。
2011-12-30 18:59:33 +08:00
回复了 fibonacci 创建的主题 信息安全 有没有团购1password的朋友们啊
@enzyme 我认为除了用户体验外,没有其他明显的优点了。
内部的安全性我就不是很清楚了,据说都很强。
功能上,感觉keepass比1pass强,扩展性好;但是1pass的用户体验非常好,各功能整合做的好。
如果你用mac,1pass是不二的选择。
keepass的ui实在很土,估计用mac的人都会有些受不了。lastpass也太丑了。
如果仅仅是win下使用,keepass应该不错,毕竟免费。
如果跨平台,lastpass也是非常不错的选择。
2011-12-30 18:45:26 +08:00
回复了 shao 创建的主题 信息安全 关于 1password 的安全性?
主要是你的master password足够强劲,问题就不大。
2011-12-29 21:29:33 +08:00
回复了 ofan 创建的主题 V2EX 这是V2EX的设计问题?
@9hills 我就是用自己做的ajax脚本回复的。不过有个bug就是让v2ex的 已读 失效了。
2011-12-29 21:24:24 +08:00
回复了 Siyrle 创建的主题 Node.js Node Club,Node.js 爱好者的社区
怎么感觉每一页都是从新载入的感觉,有些卡卡的。
@yyfearth 但是这样,有时候用户仅仅是想注册个号进去一下的话,就搞得用户很麻烦了。其实csdn那么多123456就是因为这个原因。
@9hills 弱密码验证库 可以直接用这次泄密的统计数据啊
@dndx 但是就算是有证书,也往往还是要个密码,因为如果证书被盗,还有一层保障。除非2者一起被盗。
其实,现在大多增加安全性的方法,就是多种方法一起用。虽然麻烦了些,但是也更加要保障。比如手机的验证码,usbkey,数字证书,数字令牌,再加上传统的密码。
唉,扯太远了,睡觉去。
@bhuztez 如果把特定脑电波的pattern作为密码,由于数据量极大,而且可能很难模仿,相当于用非常非常长的密码,这样爆破几乎不可能了。(当然,那时候的计算机估计也可以到把我们目前所有密码爆破的能力)
用设备伪造前提是窃取了传输的信息或者在本地窃取(相当于keylogger),那是客户端和传输的问题了,那个对于服务器端就完全没辙。
@9hills 别说,还真有不需要密码的网站,用cert数字证书,绝对比密码靠谱。不过相比之下使用更加麻烦。
@bhuztez 如果啥时候可以发明不需要密码,而且又不麻烦的的authentication的方法,绝对是一次技术革命啊。
目前来说有指纹、面部、瞳孔。但是都不是很靠谱,而且都不如密码效果好。
我相信,如果读脑技术出现,可以解决这个问题。
@bhuztez @9hills 所以就要权衡。比如hash计算消耗的时间比原来直接用md5的慢上个几倍,效率并不会减低太多。但是对于破解者而言就效率就降低很多很多了。
限制次数也无法阻止大规模分布式的DDoS,不过相比没有来说会好很多。
@dongbeta 对于用户而言,如果每个账号,密码都不一样,就算明文保存也不怕泄露。大不了从新生成一个。
我还用过用get明文发送用户名密码的系统呢~!(当然是玩玩)
@bhuztez 独立salt,仅仅是对付彩虹表。
字典爆破是完全另外一种,只能靠加大hash计算量来阻止。但是这样的同时,程序的性能也大大降低。(但是相对影响肯定是爆破要大得多)
前面提到的bcrypt,就同时提供了这2种方法的解决方案。
@9hills @bhuztez 就目前而言,每个用户不同salt基本上可以杜绝彩虹表的使用。但是要爆破还是可以的。
GPU的话,如果知道明确的算法,还是可以比较迅速的爆破出简单密码。
如果用上量子计算机的话,大部分密码都可以算出来。
不过总的来说,要同时盗取db和程序,还是比较难的。如果仅仅盗取db,猜不对算法,要爆破也不容易。
@9hills 混合真是个好主意。sha512的话,sha512(512bit的随机salt+ps+1024Byte二进制keyfile) + 512bit的随机salt 得到1024bit的hash结果(sha256的话就是512bit)很恐怖啊~!
@bhuztez 说的一个个试,是可行的(比如就难123456去黑一个一般的论坛,绝对命中一大把,要是支付宝这种,估计没戏)
前提是:系统没有限制校验的次数而且速度比较快(在服务器端限制)
或者 得到了确切的算法,比如盗取了服务器脚本文件(php之类)或者反编译(java、.net之类)。这样就算是有单一salt,也无法阻止用字典爆破,除非用bcrypt这种非常“慢”的hash。
@kongruxi Bcrypt 确实不错,hash代价很高,就连服务器本身估计都够呛的,不要说爆破了。
@9hills 固定salt直接用binary keyfile。如果每个用户独立salt话,我觉得可以和hash后的长度相同,方便存储和分割。
觉得和hashed password合并在一起比较好,这样如果仅仅db被盗,还看不出个所以然来。
md5早就该放弃了,sha的话,sha512还是比较好的,256也不错,要求不高的话sha1也勉强。如果不追求性能的话,bcrypt挺好,我下次试试。
1 ... 140  141  142  143  144  145  146  147  148  149 ... 170  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1572 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 16:59 · PVG 00:59 · LAX 08:59 · JFK 11:59
Developed with CodeLauncher
♥ Do have faith in what you're doing.