V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Funni
V2EX  ›  问与答

这个年代,还有哪个大网站用明文保存密码? 有知道的我们一起统计下 mrrebates.com 算一个

  •  
  •   Funni · 2014-09-15 14:36:30 +08:00 · 7833 次点击
    这是一个创建于 3757 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天收到了一封来自mrrebates.com 的召回邮件,里面直接明文附上了我的用户名和密码,毫不犹豫的登录改了一个明天就会忘的密码,再也不会用了..

    这类网站真是程序员的耻辱.封杀到死.这样就知道为啥大家一起出来混, ebates.com 卖了1亿的现金,mr rebates 啥也不是了
    40 条回复    2019-08-18 18:09:14 +08:00
    akaayy
        1
    akaayy  
       2014-09-15 15:10:21 +08:00 via Android
    Livid
        2
    Livid  
    MOD
       2014-09-15 15:11:42 +08:00
    @akaayy 请给出一些证据。

    V2EX 不欢迎这种不负责任的随意回复。
    dong3580
        3
    dong3580  
       2014-09-15 15:19:11 +08:00
    @akaayy
    你该是看了上次某篇文章的前半部分,没看后半部分。
    给你点提示,海明距离,相似算法,然后自己普及一下。

    @Funni
    另外想吐槽一下,再好的密码 ,也怕一个猪一样的队友。
    mornlight
        4
    mornlight  
       2014-09-15 15:24:10 +08:00
    我最常遇到的,是那些卖虚拟空间的网站,注册会员的时候,一封邮件直接把明文密码发我.....
    好几次都这样
    oldcai
        5
    oldcai  
       2014-09-15 15:24:34 +08:00
    @akaayy 好像很早以前,03年之前,qq找回密码确实会附上密码原文,但是后来就变成重置密码了。
    jy02201949
        6
    jy02201949  
       2014-09-15 15:44:16 +08:00
    对于像我这样所有网站一个密码的懒惰党,明文密码的网站真是像狗屎一样恶心,当然有的论坛跟网站还是故意这么搞的,社工库就这么来了
    jun0205
        7
    jun0205  
       2014-09-15 15:48:27 +08:00
    应该还有很多是用的可解密的密码,觉得这样的密码和明文差别不大。
    auser
        8
    auser  
       2014-09-15 15:56:22 +08:00 via Android   ❤️ 1
    民生银行网银

    去年的时候班办的工资卡 开了网银 一直用的老版网银

    后来升级到新版网银 我登录时提示错误 让我输入原来密码的前8位 输入后登录成功

    从此改密码 绑定支付宝快捷支付 每月工资到账立马转走
    Funni
        9
    Funni  
    OP
       2014-09-15 16:06:55 +08:00
    @auser 这个算大户...标记


    @jun0205 加盐多次md5,现在标配了吧
    @jy02201949 同意. 针对不同类型的网站,根据重要程度,我有至少3个档次不一样的密码 ;]
    @mornlight 这样的服务我可不敢用..
    akaayy
        10
    akaayy  
       2014-09-15 16:10:56 +08:00   ❤️ 1
    QQ可以在不输入密码的情况下检测当前设置的密码的强度 http://www.zhihu.com/question/24434281
    密码强度检测: https://aq.qq.com/cn2/psw_strength_check/pswcheck_index
    ------------------------------------
    qq密码忘记了,找回密码申诉的时候,其中重要的一项是:请输入最后三次使用的密码。
    (如果腾讯一直在用同一种加密方式,当然也可以比对。我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法,但是输入最近3次密码,却并不要求你输入使用密码的时间。所以我认为腾讯在很长时间甚至目前也使用了明文保存。或者根据本地法律,采用了有特色的明文保存)
    ------------------------------------
    谢谢
    taine
        11
    taine  
       2014-09-15 16:38:40 +08:00   ❤️ 1
    10亿
    iyaozhen
        12
    iyaozhen  
       2014-09-15 16:58:14 +08:00
    @akaayy
    “我相信腾讯如果使用了加密的话,不同时期肯定采用了不同的加密算法。”
    都是单向加密,如何不同时期采用不同的加密算法?
    “请输入最后三次使用的密码”
    这个可能是根据输入密码和原密码的相近程度来判断账号的所有人吧。
    密码强度检测估计是用了一些算法来判断密码中是否包含特殊字符、数字、字母等吧
    以上在密文的情况下同样可以判断。
    qq那么大的公司不可能明文保存密码的。
    LazarusX
        13
    LazarusX  
       2014-09-15 16:58:53 +08:00
    virusdefender
        14
    virusdefender  
       2014-09-15 17:04:17 +08:00
    中国移动wlan业务 找回密码也是发送原密码
    budblack
        15
    budblack  
       2014-09-15 17:09:30 +08:00
    @akaayy 个人认为检测密码强度应该没有必要代入明文密码,一个可信性方案是通过查表的方式测试密文的安全性.考虑到网页工具能即时返回结果,那可以推测是服务器上会在特定的事件发生时(比如密码或加密算法更新时)载入一个校验用户密码的强度的任务并随后将结果保存.
    有了以上机制,至于更换加密算法的问题就不是问题了.以下均为臆想情节,请勿对号入座.
    设想一下,如果密码库要改算法.在不依赖之前密文结果且不知道明文的前提下要如何转换?既然老用户能登录,那就得有一个密码版本标识和过度机制.这个转换模块也许在客户端也许在服务器.用旧算法验证密码后再用新算法计算新的密文保存.
    我是这么想的,总不至于每次更新加密算法的时候都让用户手动重置密码吧?
    akaayy
        16
    akaayy  
       2014-09-15 18:48:59 +08:00
    @iyaozhen
    @budblack
    两位同学都依据“那么大的公司不可能明文保存密码”作为结论反推出不用明文密码也可以做到这些。
    需要注意的是,腾讯公司从来没有声明过他们会加密保存密码。
    翻看腾讯公司的《隐私权保护声明》 http://www.qq.com/privacy.htm 通篇也没有提到加密二字。
    ---------------------------------------------------------------------------------引用
    您个人信息的管理

    腾讯会在如下情形使用您的个人信息:(1)符合法律法规的要求;(2)根据您的授权;(3)符合腾讯相关服务条款、软件许可使用协议的约定;

    腾讯不会未经允许向第三方披露您的个人信息。除非满足下述情形之一: (1)根据法律法规的规定;(2)符合您与腾讯之间的相关服务条款、软件许可使用协议的约定;

    您个人信息的安全

    腾讯严格保护您的个人信息安全。我们使用各种制度、安全技术和程序等措施来保护您的个人信息不被未经授权的访问、使用或泄漏。如果您对我们的个人信息保护有任何疑问,请联系我们。
    ----------------------------------------------------------------------------------
    法律和制度是最优先的,根据这个描述和相关证据,我觉得腾讯公司的做法是加密和明文并存的方式。在高级别的权限中还是能查看明文密码的。

    “这么大的公司”也可能做出不符合程序员思路的事情来。你们还记得google退出中国的原因吗
    txlty
        17
    txlty  
       2014-09-15 19:06:09 +08:00
    @Livid @dong3580 @jun0205 @akaayy
    qq应该是可逆加密。去看下qq邮箱,用的RSA。没私钥是还原不出密码的。
    http://res.mail.qq.com/zh_CN/htmledition/js/qmlogin1c9135.js
    还有很多邮件通知发的明文密码,其实是可逆加密。不是明文。
    另外,还有很多大网站登录时直接明文传递密码,这比明文存储更可怕。
    jun0205
        18
    jun0205  
       2014-09-15 19:15:16 +08:00
    @txlty 可解密就说明可以被看到用户真实密码,在内部权限高点的人应该就可以直接查询到真实密码。

    你完全无法信任那些人。
    akaayy
        19
    akaayy  
       2014-09-15 19:15:34 +08:00
    顺便说一下,我是腾讯qq的重度用户。
    我觉得是否采用加密存储密码方式不代表技术的先进性与否,可能腾讯觉得以自己的技术可以做到明文密码不外泄。
    是否采用加密存储密码方式同样不是安全性的保证/保障。高明的黑客可以跳过密码获取信息,要出卖你信息的网站不知道密码也一样可以出卖。

    所以,相对而言,中小型网站更需要对密码进行加密,以免被社工。而像腾讯这种巨头,加不加密就那样吧。别人如果都获得了你在腾讯的密码字段,还有什么别人获取不了的呢。
    xmbaozi
        20
    xmbaozi  
       2014-09-15 19:23:29 +08:00 via Android
    qq.com
    申诉时,会参加与历史密码的相似度
    izoabr
        21
    izoabr  
       2014-09-15 19:56:41 +08:00
    中国联通的服务密码去年我测试还是发送原文到手机.还有wlan业务也是.
    Automan
        22
    Automan  
       2014-09-15 19:59:07 +08:00
    这年头不加盐的MD5也和明文差不多了
    izoabr
        23
    izoabr  
       2014-09-15 19:59:17 +08:00
    我记得看过一篇文章,说政策方面有要求,就是某些机构需要的时候,会给网站主办方下个协查通知,要求提供某些用户的密码原文.所以CSDN和天涯才那样,后来被脱裤暴大问题.但刚才找了下找不到那文章了.
    dorentus
        24
    dorentus  
       2014-09-15 21:27:13 +08:00
    @akaayy
    用户希望密码加密主要是因为很多人在不同的站点是用同一个密码的,不希望因为一个站点的过失影响到其他站点的账户安全。
    lygmqkl
        25
    lygmqkl  
       2014-09-15 22:37:59 +08:00
    qq 应该是明文密码,可能有权限等级得感觉。核心库一旦开了。。。漏一点都是灾难。
    sNullp
        26
    sNullp  
       2014-09-15 23:29:23 +08:00
    @Funni 印象里 ebates 也是明文密码
    paulw54jrn
        27
    paulw54jrn  
       2014-09-15 23:42:54 +08:00   ❤️ 1
    知乎那一个很可疑的 password varchar;
    https://gist.github.com/paulw54jrn/fe6c16b78449f6928662
    pandada8
        28
    pandada8  
       2014-09-16 00:05:30 +08:00 via Android
    →_→不是为了上头方便拿到个人密码才明文保存的么
    ——
    我记得在什么地方看到过有人说过……不过这是一条不负责任的随意回复……
    iyaozhen
        29
    iyaozhen  
       2014-09-16 01:25:45 +08:00
    @akaayy 毕竟出了几件那么大的事情,连我自己开发的应用都把以前明文保存的密码全部加密了一遍。以前可能不是,现在更不可能是明文保存了。至于是不是可逆加密这个就不知道了,只是觉得没有什么业务需要查看密码对应的明文,没必要。
    虽然说能接触密码的人很少,但腾讯那么多年了,接触过的人很多了,要是是明文的话早就被爆出来了。
    至于google退出中国的原因,当年还小,还不会上网,不知道来龙去脉。请赐教。
    a128445
        30
    a128445  
       2014-09-16 03:24:29 +08:00
    http://toefl.etest.net.cn/
    密码明文保存
    O21
        31
    O21  
       2014-09-16 06:57:43 +08:00 via iPhone
    所有 whmcs 系统 很多卖vps
    的用它
    niaoren
        32
    niaoren  
       2014-09-16 08:27:19 +08:00 via iPhone
    53kf.com 这个是明文密码的,以前点忘记密码他们是直接发的老密码
    timothyqiu
        33
    timothyqiu  
       2014-09-16 09:05:05 +08:00
    我记得 AcFun 赛门去年说过明文密码是「被要求的」:
    http://weibo.com/1420277134/zdfVK0oHJ
    sandideas
        34
    sandideas  
       2014-09-16 09:09:54 +08:00 via Android
    @auser 说不定前八位加密一次,全部加密一次呢
    dong3580
        35
    dong3580  
       2014-09-16 09:51:46 +08:00
    @txlty
    确实可能。
    另外,"明文传递密码"可以说是基本所有的网站都是。
    我很奇怪,密码的用途就是登录,为什么他们不愿意在客户端加密一次或者几次再传输到服务器加密一次,这样不是效果很好么。
    lyragosa
        36
    lyragosa  
       2014-09-16 10:02:22 +08:00   ❤️ 2
    大家都在说大型网站,我说一下小网站。

    我自己的网站,用的是md5+sha1+注册时候随机决定的salt+根据注册时间决定的salt。后者的算法和整体产生hash的算法在程序中。

    技术所限也只能做这样的加密了。偶有一日问一个朋友的网站,曰“搞这么麻烦没意义,我们要专精于业务部分,密码这种东西能明文就明文,还方便帮别人找”。

    虽然“别人家的网站”的确做得比我好,但我还是认为无论网站大小,密码不能用明文并且要用复杂算法加密这应该是常识中的常识了。从此之后为了突出这一点,我在我的网站上特意注明了“你在本站注册的密码字符串将得到符合业界通行惯例的方式进行不可逆加密,包括管理员在内的所有人均无法读取你的密码。”

    另外前面有说密码传递的……我只想说,除非HTTPS,否则在客户端加密基本上没什么意义……反而让客户端的自动保存密码软件失效。


    另外,作为开发者,**根本不需要** 用户的密码就可以以这个用户的身份登录。所以什么方便测试啊,方便上头检查啊都是错的。你自己控制着后端程序,你甚至可以临时写一个万能密码之类的方便领导/测试人员/有关部门登录。

    任何情况下,任何网站都没有任何理由存储用户密码原文。
    Funni
        37
    Funni  
    OP
       2014-09-16 12:34:34 +08:00
    @lyragosa 不能同意更多
    izoabr
        38
    izoabr  
       2014-09-16 13:00:00 +08:00
    @lyragosa 可是"上头"要他的密码目的是为了要这个密码,然后去登陆别的系统之类的,不是为了这个网站的用户.你说CSDN有什么破东西能窥探的,肯定是第三方的.
    vivalon
        39
    vivalon  
       2014-09-22 10:49:12 +08:00
    中国电影资料馆
    http://www.cfa.gov.cn/
    注册后发的邮件是明文密码提示。
    imxsec
        40
    imxsec  
       2019-08-18 18:09:14 +08:00
    ICP 备案密码...明文的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2839 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 08:32 · PVG 16:32 · LAX 00:32 · JFK 03:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.