这是一个创建于 2176 天前的主题,其中的信息可能已经有所发展或是发生改变。
基于穷 接了个外包的活儿,发现用户的密码只是经过了 base64 编码,没有任何加密。
其实想想挺可怕 可以拿手机号和密码去其他网址碰撞了....
其实想想挺可怕 可以拿手机号和密码去其他网址碰撞了....
 |
1
qilishasha 2018-12-07 15:39:56 +08:00
人生在世,不违本心即可为……但有时候,为了未来,放下吧
|
 |
2
Mac 2018-12-07 15:42:12 +08:00 via Android
所以我们内部所有的密码都是 xxx94sb,xxx 代表你最讨厌的供应商✌(̿▀̿ ̿Ĺ̯̿̿▀̿ ̿)✌
|
 |
3
no1xsyzy 2018-12-07 15:42:51 +08:00
为什么违规呢?
除非自称符合 ISOxxxx 或者 GBxxxx 符合信息安全要求。 否则 base64 或者明文有什么关系呢? 况且 sqlmap 对简单 md5 等可以自动解密。 ---- 当然,你要拿去试就违法了,别试 |
 |
4
WuwuGin 2018-12-07 15:44:33 +08:00
国家有法规定密码必须加密存储吗?但是是一个有点安全意识的人都不会这么做,说到底这行的门槛是很低,才导致这种问题出现的。
|
 |
5
zsy979 2018-12-07 15:49:14 +08:00
万一是故意这么存的...
|
 |
6
yasumoto OP |
 |
7
t6attack 2018-12-07 15:55:20 +08:00
没人规定明文储存密码是否违规。
另外,如果网站想保留一份用户的明文密码,正确姿势是 2048 位 RSA 加密。私钥自己收好。 |
 |
8
littleylv 2018-12-07 15:58:10 +08:00
密码加密,只能是(极大程度上)防止被脱裤的时候让坏人知道密码。
如果网站本身想使坏,想要知道用户输入了什么密码不是非常简单? |
 |
9
maristie 2018-12-07 16:05:34 +08:00
best practice 是加 salt 再 hash,不过国内这种小项目也没办法要求太多
|
 |
10
takato 2018-12-07 16:09:34 +08:00
澳大利亚新立法说,加密内容必须要能自由解密。。。
|
|
11
t6attack 2018-12-07 16:11:44 +08:00  1
保存一份用户的明文密码有什么用?一个最缺德的玩法,就是破坏有竞争关系的同类网站。捣乱数据的同时,给对方贴上不安全的标签。
早年国内各大比特币交易平台就有这么干的。互相之间,用自己用户的密码,去碰竞争对手网站,然后把币偷走。 一方盗取了大量比特币,另一方面,沉重打击了竞争对手声誉。给其贴上“不安全” “丢币”的标签。 最后所有平台,提币时都加入了手机验证过程。有个平台慢了一步,损失惨重。最终的结局就是关站跑路。 |
 |
12
Raymon111111 2018-12-07 16:12:38 +08:00
如果有法条的话拿出来看
|
 |
13
bluetata 2018-12-07 16:14:21 +08:00
明文存储不违法,违法的是明文存储信息泄露了
|
 |
14
honeycomb 2018-12-07 16:20:42 +08:00 via Android
|
 |
15
liuyanjun0826 2018-12-07 16:22:34 +08:00 via Android
其实你知道吗,在早年的互联网,都是 id 互相借用的,只是最近的小孩不知道而已,就像我们那代人从书本里错误地理解纳粹德国一样
|
 |
17
BuilderQiu 2018-12-07 16:52:33 +08:00
想起我前段时间补办了社保卡,拿到的密码函里面清清楚楚写着我原来社保卡的密码
 ...是个常用的密码,赶紧把密码改了... |
 |
18
lmmortal 2018-12-07 16:52:57 +08:00 via Android
|
|
19
lmmortal 2018-12-07 16:55:12 +08:00 via Android
|
 |
20
shejinimei 2018-12-07 16:57:26 +08:00
|
 |
21
ylsc633 2018-12-07 16:58:13 +08:00
这让我想起了 前段时间 我备案的事情!
起因: 云服务从 阿里云 迁到 腾讯云 但是域名是阿里云的! 所以得重新备案! 经过: gx 部会给我发个短信,然后去 gx 部网去验证啥的,然后我不知道这回事,收到了短信也不管,开始是腾讯云员工去试,后来发现不行后,打电话给我, 然后报出了我的 腾讯云的明文密码 说这个不是 gx 部备案密码,不给通过... 恩!这个客服直接报出了我的密码.. 另外 这个客服 不知道 $ # 怎么读..... |
 |
22
chinvo 2018-12-07 17:00:08 +08:00 via iPhone
这让我想起来前几天那个 base64 在线编码工具被一公司要求下架的帖
|
 |
24
HFX3389 2018-12-07 17:42:56 +08:00 1
根据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 ------------ 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 |
 |
25
iyangyuan 2018-12-07 20:35:36 +08:00 via iPhone
百分百忘记密码找回,不亏
|
Select Language