V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
wdssmq
V2EX  ›  全球工单系统

百度密码限制最长 14 位,差评一下!

  •  1
     
  •   wdssmq · 2021-12-25 20:01:14 +08:00 · 3926 次点击
    这是一个创建于 1089 天前的主题,其中的信息可能已经有所发展或是发生改变。

    QQ 登录选项也只在少数产品入口有。。

    30 条回复    2021-12-31 08:48:00 +08:00
    AoEiuV020CN
        1
    AoEiuV020CN  
       2021-12-25 20:14:48 +08:00
    14 位是太多还是太少?
    Darkside
        2
    Darkside  
       2021-12-25 21:05:00 +08:00
    @AoEiuV020CN 根本就不应该有密码长度的限制吧。

    后端又不需要明文存储密码,(大多数情况下)存的都是哈希值,为什么要限制原始密码的长度呢?这很难理解。
    whileFalse
        3
    whileFalse  
       2021-12-25 21:20:52 +08:00
    @Darkside 根本就不应该自己记忆密码吧。
    用密码管理器,14 位密码的安全性扛不住爆破吗?这很难理解。
    MinecraftFuns
        4
    MinecraftFuns  
       2021-12-25 21:46:54 +08:00
    @whileFalse 如果某些密码管理器默认生成的密码就是 16 位的怎么办? V 站的同学可以自己手写,普通用户就得头疼了。

    如果后端存储哈希值的话,去掉密码长度限制本来就不需要密码管理器、安全之类的前提,而是一种更符合常理的做法。
    whileFalse
        5
    whileFalse  
       2021-12-25 21:48:16 +08:00   ❤️ 1
    @MinecraftFuns 默认生成 16 位,不能改成 14 位,这样的密码管理器叫什么名字?我去下载瞻仰一番。
    MinecraftFuns
        6
    MinecraftFuns  
       2021-12-25 21:54:02 +08:00
    @whileFalse Chrome 。

    Tumblr
        7
    Tumblr  
       2021-12-25 21:54:46 +08:00
    对于密码输入框来说,14 位确实少了点,更大众的数字是最多 64 位吧?或者说我这黄历有点旧了。。。

    @MinecraftFuns #4 呃。。。您搞错了一件事。。。普通用户是不会用密码管理器的😂
    whileFalse
        8
    whileFalse  
       2021-12-25 21:56:56 +08:00
    @MinecraftFuns 那不应该差评 chrome 么。另外,删两位不就完了。
    @Tumblr 一个会用密码管理器的人搞不定 14 位密码,这不符合常理。
    whileFalse
        9
    whileFalse  
       2021-12-25 21:58:38 +08:00
    @MinecraftFuns 请问下你是用 chrome 作为主力密码管理器吗?那么在 app 中登录时的密码该如何管理呢。
    paopjian
        10
    paopjian  
       2021-12-25 22:00:26 +08:00   ❤️ 1
    如果是百度的话,估计就是远古代码没法改了,百度那帮人乱得很
    MinecraftFuns
        11
    MinecraftFuns  
       2021-12-25 22:02:45 +08:00   ❤️ 1
    @whileFalse 我觉得我可能陷入了和你辩论的误区。

    如果跳出我们的争论,直接看原本的问题,就像我在 #4 说的那样。

    「如果后端存储哈希值的话,去掉密码长度限制本来就不需要密码管理器、安全之类的前提,而是一种更符合常理的做法。」

    如果“简单”比“复杂”更加接近“正确”,那么就应该承认,去掉密码长度限制比保留“最长 14 位”的密码长度限制更好。
    snxq1995
        12
    snxq1995  
       2021-12-25 22:08:50 +08:00 via Android
    限制本身不正常。
    wdssmq
        13
    wdssmq  
    OP
       2021-12-25 22:21:11 +08:00
    @whileFalse #5
    @MinecraftFuns #6
    我之前看过一个站只允许某几个特殊字符,但是 Edge 的选项里并不能选择不包含特殊字符,,就略蛋疼。。虽然那个站本身并不重要。。

    所以现状是,,如果一个站本身不重要,我会用自动生成的密码,如果稍微有些重要。。为了应对不得不手动输密码的情况,我会用固定 12 位 + 4 位周期变动的密码方案,只记这四位;

    现在电脑、手机浏览器都用的 Edge ,手机上还装了微软验证器,可以实现部分 app 内自动填充;

    说起来微软的网页入口是啥地址?

    应对谷歌的 https://passwords.google.com/
    whileFalse
        14
    whileFalse  
       2021-12-25 23:22:16 +08:00   ❤️ 4
    @MinecraftFuns 任何东西都是要有限制的。随便举一个例子。

    有一种东西叫做 web 防火墙,可以通过简单的规则匹配,当发现请求中包含注入字符串的时候就自动阻断。我们用的 web 防火墙对于请求体大小有限制,超过 64k 的部分无法判断。所以在添加 web 防火墙的时候,对于一般的小尺寸接口可能还要加一个限制,超过 64k 的请求也直接阻断。
    然后,如果之前用户设置了一个 65k 长度的密码,现在他就没法登录了。

    这个例子很离谱,但就是告诉你,没有任何限制的系统会在你意想不到的地方出问题。14 位限制在现在看来可能可以提升一下,但不提升又怎样?提升了又能怎么样?说白了,吹毛求疵的用户的钱是最难赚的,最好不理会他们的需求让他们用脚投票,舒舒服服地赚小白的钱。
    luckycatio
        15
    luckycatio  
       2021-12-25 23:36:54 +08:00
    越复杂的条件限制会让用户使用越"简单"的密码,并在多个网址重复使用.
    jinliming2
        16
    jinliming2  
       2021-12-26 05:00:53 +08:00
    @whileFalse 差评 chrome 不支持生成更长的密码?同时差评 baidu 不支持更长密码……
    chrome 管理密码的话,iOS 是可以直接在应用中自动填充的,只要装了手机 Chrome 并自动同步,系统设置里的密码选项里就可以选择自动填充 Chrome 记住的密码。
    MintZX
        17
    MintZX  
       2021-12-26 05:52:09 +08:00
    @MinecraftFuns 没有什么应该不应该的。我都能想象得到发生了什么。无非就是 dto 什么的里面在远古时期写死了 type: varchar, length: 14 什么的,那也没办法, 这种东西随便改改来几个十几个 p0 不是闹着玩的。
    DeutschXP
        18
    DeutschXP  
       2021-12-26 07:59:43 +08:00 via iPhone   ❤️ 1
    @MinecraftFuns #6 截图里面的例子,不是生成了一个 15 位的密码么?
    JiaZombie
        19
    JiaZombie  
       2021-12-26 08:42:25 +08:00 via Android   ❤️ 1
    限制 14 位,但是你可以每次都输入超过 14 位(比如 16 位),它每次都只会截取前 14 位,这样就没啥区别了
    explorerproxy
        20
    explorerproxy  
       2021-12-26 08:43:24 +08:00
    限制 14 位确实太少了
    Kaciras
        21
    Kaciras  
       2021-12-26 10:49:05 +08:00   ❤️ 1
    就是明文存密码了,没有 hash
    jjpprrrr
        22
    jjpprrrr  
       2021-12-26 11:43:37 +08:00
    @whileFalse #9 如果有完整的谷歌套件的话,android 也可以自动记忆和填充 app 密码
    whywaoxaks
        23
    whywaoxaks  
       2021-12-26 11:53:33 +08:00
    百度限制密码长度,就是明文存储。
    但我寻思,伟光正不作恶的谷歌也限制呀。
    Jwyt
        24
    Jwyt  
       2021-12-26 13:49:25 +08:00
    @whileFalse 连 chrome 的自动密码生成都没考虑的话,难怪百度现在这么拉了
    Flash1
        25
    Flash1  
       2021-12-26 13:52:45 +08:00
    退格键被抠了是吧
    butanediol2d
        26
    butanediol2d  
       2021-12-26 14:19:15 +08:00
    @Flash1 问题是有很多限制位数的网站在注册的时候超出自动截断,而不是提示密码过长(可能是密码管理器一次性填写没触发什么 function ?),但是密码管理器记住的是没有截断的,导致登录的时候密码不正确。这个问题我遇到三四次了。
    如果他提示超长了,那我肯定可以手动删掉几个字符。
    akira
        27
    akira  
       2021-12-26 14:44:14 +08:00
    早期的时候 ,一堆人的密码是 6 位,14 位这个长度已经足够长了。
    chaowang
        28
    chaowang  
       2021-12-26 16:02:49 +08:00
    话说最近还看到 2021 年使用次数最多的密码是 123456 ,遥遥领先第二名的 12345678 。。。
    SeanTo
        29
    SeanTo  
       2021-12-26 20:51:45 +08:00 via Android
    我倒是希望没有最短限制,不喜欢长密码。有个 LastPass 不太常用的 20 位密码,经常记不住。
    seanzxx
        30
    seanzxx  
       2021-12-31 08:48:00 +08:00
    最可怕的是那种设置密码有长度限制,比如 14 位,超过就截断,只保存前 14 位,但登陆的时候不会截断

    创建账号,用密码管理器生成一个密码,然后账号创建成功
    登陆,靠,提示密码错误
    找回密码,进入密码修改页面,把之前的创建的密码再输入一次,提示密码不能和前一个相同
    登陆,靠,出错,什么破系统
    然后再仔细返回创建账号的页面看密码的限制

    这种情况遇到过好几次了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2468 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:55 · PVG 23:55 · LAX 07:55 · JFK 10:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.