这是一个创建于 1952 天前的主题,其中的信息可能已经有所发展或是发生改变。
前些天在《杭州办事服务》这个 app 上办理了杭州图书馆的读者证,刚无意从 app 我的>我的办件>图书馆借阅办证 点进去,详情页发现自己的密码直接显示出来了,借阅证的密码要求是六位数字密码,肯定有部分人直接用六位支付密码的…..
第 1 条附言 · 2019-07-14 21:57:05 +08:00
抓包的结果是:请求后的 json 里直接明文密码,不过请求套了 https,然后 app 做了防止抓包处理,检测到会自动注销,所以总体来讲还是很安全滴╰(*°▽°*)╯。
 |
1
loading 2019-07-14 16:44:13 +08:00 via Android  1
就是显示出来你才不会用支付密码。(专业洗地)
|
 |
2
chocolatesir 2019-07-14 16:44:48 +08:00
这种用 123456 弱密码的更多吧
|
 |
3
xingyue OP @chocolatesir 实际上一个密码走天下的群体并不少,甚至看到明文显示密码反而觉得方便自己忘了也不怕的用户肯定也有的.....
|
 |
4
lshero 2019-07-14 17:08:00 +08:00 via Android 1
去 CNVD 提交一波?
|
 |
5
yukiww233 2019-07-14 17:08:53 +08:00 1
不一定是明文存,只能证明不是摘要算法存的
比如 chrome 和 last pass 都能做明文填充,也不影响它在服务端加密存储啊 |
 |
8
3dwelcome 2019-07-14 17:39:50 +08:00 via Android
chrome 保存网站密码,也是明文,我都不敢随便点保存密码了,涉及网站更多,太不安全了。
|
 |
9
SingeeKing 2019-07-14 17:45:11 +08:00
这个和 Chrome 不一样吧,Chrome 是本地明文 + 服务器可选加密(主密钥可选是自己的同步密码还是由 Google 管理),这个图书馆是服务器直接明文
|
 |
11
hourann 2019-07-14 18:54:43 +08:00 via iPhone
你都说了是 6 位数字密码,就算是存 hash,碰撞也太简单
|
 |
12
niubee1 2019-07-14 18:55:59 +08:00
凡是规定了密码最大长度的肯定都是明文保存密码的, 比如网易邮箱什么的
|
 |
13
pastgift 2019-07-14 19:10:44 +08:00 via iPhone
Chrome 那也不叫明文,也是密文。
正常保存密码其实严格来说叫保存 hash 摘要,不叫加密保存。加密的数据一般总是有解密需求的。 浏览器保存密码肯定要解密为原文再发给网站,不可能发摘要给网站的,只要密码策略 OK,一般是没问题的。 至于网站自身肯定是首选保存密码摘要,除非有非常特殊的需求…… |
 |
14
liuxey 2019-07-14 20:15:33 +08:00
Chrome 密码从功能上来说只能加密存储,不能使用摘要,而这个完全是毫无道理的,无法洗地
|
 |
15
greatdancing 2019-07-14 21:07:19 +08:00 via Android
@niubee1 好像不对
|
|
16
xingyue OP @3dwelcome #8 老哥轻怼,,,一般登陆系统确实没理由对用户密码做可逆加密处理,如 #14 所说~,密码管理工具迫于功能性。不过我标题确实欠考虑了,毕竟不能据此推断出数据库的就是简单的原文保存,抱歉。。。。。
@sobigfish #10 emmmm,我想的是如果是客户端解密的话,因为登陆是低频操作,只要登陆时没有发生劫持那么相对也是安全的。然后抓包的结果是:请求后的 json 里直接明文密码,不过请求套了 https,然后 app 做了防止抓包处理,检测到会自动注销,所以总体来讲还是很安全滴╰(*°▽°*)╯。 @hourann #11 碰撞的话,做次数限制冻结账号应该就可以防止了吧 @greatdancing #15 好奇 ing,求详解~ |
|
17
niubee1 2019-07-14 21:52:51 +08:00
@greatdancing 对就对不对就不对, 好像不对是个神毛鬼?
|
 |
19
Buges 2019-07-14 21:55:14 +08:00 via Android
用可逆加密存储,要么就是懒,低价外包。要么就是别有所图(撞库,字典,彩虹表)
|
|
20
xingyue OP @niubee1 #17 哈哈哈,我上条还艾特错人了,等层主来解惑 @greatdancing
|
|
21
niubee1 2019-07-14 21:59:53 +08:00 1
@xingyue 限定最大长度是为了明文保存你的密码方便嘛, 用定长列就毋须用 Text 来保存密码了, 那样想着都蠢。 而用摘要算法只保存密码 hash 值的话, 因为勿论多长的密码 hash 都都是定长的, 所以根本没有必要限制密码的最大长度。故而, 如果限制了密码的最大长度, 那么铁定了是要存你的密码,至于明文存还是加密存, 存了会不会去干什么坏事情, 就不知道了, 反正我的密码都是工具管理自动生成一次一密, 无所谓了
|
 |
22
billlee 2019-07-14 22:15:58 +08:00
@niubee1 #21 并不全是这样吧,有些人脑洞比较大,比如说,存了 16 字节的摘要,那么密码明文也不允许超过 16 字节。
|
 |
23
JamesR 2019-07-14 22:48:44 +08:00 via Android
@niubee1 我觉得提交时候允许最长 64 位密码就行了,不存密码,但提交时候应该设计有长度限制吧?允许最长 1024 位密码?
|
Select Language