V2EX › yyfearth 的所有回复 › 第 144 页 / 共 170 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 140 141 142 143 144 145 146 147 148 149 ... 170

❮

❯

2011-12-30 19:46:09 +08:00

回复了 ectotherm 创建的主题 › macOS › OS X下的同步工具，除了Windows Live Mesh还有选择吗？

xp 下载linkd.exe或者junction.exe

2011-12-30 19:45:36 +08:00

回复了 ectotherm 创建的主题 › macOS › OS X下的同步工具，除了Windows Live Mesh还有选择吗？

@ectotherm mac: ln -s
win7 mklink

2011-12-30 19:11:19 +08:00

回复了 richiefans 创建的主题 › 分享发现 › 有要团购Alfred的吗发现k版用不了了

太贵了，而且要求under one roof，团购意义不大啊。

2011-12-30 18:59:33 +08:00

回复了 fibonacci 创建的主题 › 信息安全 › 有没有团购1password的朋友们啊

@enzyme 我认为除了用户体验外，没有其他明显的优点了。
内部的安全性我就不是很清楚了，据说都很强。
功能上，感觉keepass比1pass强，扩展性好；但是1pass的用户体验非常好，各功能整合做的好。
如果你用mac，1pass是不二的选择。
keepass的ui实在很土，估计用mac的人都会有些受不了。lastpass也太丑了。
如果仅仅是win下使用，keepass应该不错，毕竟免费。
如果跨平台，lastpass也是非常不错的选择。

2011-12-30 18:45:26 +08:00

回复了 shao 创建的主题 › 信息安全 › 关于 1password 的安全性?

主要是你的master password足够强劲，问题就不大。

2011-12-29 21:29:33 +08:00

回复了 ofan 创建的主题 › V2EX › 这是V2EX的设计问题？

@9hills 我就是用自己做的ajax脚本回复的。不过有个bug就是让v2ex的已读失效了。

2011-12-29 21:24:24 +08:00

回复了 Siyrle 创建的主题 › Node.js › Node Club，Node.js 爱好者的社区

怎么感觉每一页都是从新载入的感觉，有些卡卡的。

2011-12-29 21:20:12 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@yyfearth 但是这样，有时候用户仅仅是想注册个号进去一下的话，就搞得用户很麻烦了。其实csdn那么多123456就是因为这个原因。

2011-12-29 21:18:48 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@9hills 弱密码验证库可以直接用这次泄密的统计数据啊

2011-12-29 21:16:14 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@dndx 但是就算是有证书，也往往还是要个密码，因为如果证书被盗，还有一层保障。除非2者一起被盗。
其实，现在大多增加安全性的方法，就是多种方法一起用。虽然麻烦了些，但是也更加要保障。比如手机的验证码，usbkey，数字证书，数字令牌，再加上传统的密码。
唉，扯太远了，睡觉去。

2011-12-29 21:12:52 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@bhuztez 如果把特定脑电波的pattern作为密码，由于数据量极大，而且可能很难模仿，相当于用非常非常长的密码，这样爆破几乎不可能了。（当然，那时候的计算机估计也可以到把我们目前所有密码爆破的能力）
用设备伪造前提是窃取了传输的信息或者在本地窃取（相当于keylogger），那是客户端和传输的问题了，那个对于服务器端就完全没辙。

2011-12-29 21:06:45 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@9hills 别说，还真有不需要密码的网站，用cert数字证书，绝对比密码靠谱。不过相比之下使用更加麻烦。

2011-12-29 21:05:10 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@bhuztez 如果啥时候可以发明不需要密码，而且又不麻烦的的authentication的方法，绝对是一次技术革命啊。
目前来说有指纹、面部、瞳孔。但是都不是很靠谱，而且都不如密码效果好。
我相信，如果读脑技术出现，可以解决这个问题。

2011-12-29 20:58:32 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@bhuztez @9hills 所以就要权衡。比如hash计算消耗的时间比原来直接用md5的慢上个几倍，效率并不会减低太多。但是对于破解者而言就效率就降低很多很多了。
限制次数也无法阻止大规模分布式的DDoS，不过相比没有来说会好很多。

2011-12-29 20:50:06 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@dongbeta 对于用户而言，如果每个账号，密码都不一样，就算明文保存也不怕泄露。大不了从新生成一个。
我还用过用get明文发送用户名密码的系统呢~！（当然是玩玩）

2011-12-29 20:47:16 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@bhuztez 独立salt，仅仅是对付彩虹表。
字典爆破是完全另外一种，只能靠加大hash计算量来阻止。但是这样的同时，程序的性能也大大降低。（但是相对影响肯定是爆破要大得多）
前面提到的bcrypt，就同时提供了这2种方法的解决方案。

2011-12-29 20:43:56 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@9hills @bhuztez 就目前而言，每个用户不同salt基本上可以杜绝彩虹表的使用。但是要爆破还是可以的。
GPU的话，如果知道明确的算法，还是可以比较迅速的爆破出简单密码。
如果用上量子计算机的话，大部分密码都可以算出来。
不过总的来说，要同时盗取db和程序，还是比较难的。如果仅仅盗取db，猜不对算法，要爆破也不容易。

2011-12-29 20:34:51 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@9hills 混合真是个好主意。sha512的话，sha512(512bit的随机salt+ps+1024Byte二进制keyfile) + 512bit的随机salt 得到1024bit的hash结果（sha256的话就是512bit）很恐怖啊~！
@bhuztez 说的一个个试，是可行的（比如就难123456去黑一个一般的论坛，绝对命中一大把，要是支付宝这种，估计没戏）
前提是：系统没有限制校验的次数而且速度比较快（在服务器端限制）
或者得到了确切的算法，比如盗取了服务器脚本文件（php之类）或者反编译（java、.net之类）。这样就算是有单一salt，也无法阻止用字典爆破，除非用bcrypt这种非常“慢”的hash。

2011-12-29 20:10:07 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

@kongruxi Bcrypt 确实不错，hash代价很高，就连服务器本身估计都够呛的，不要说爆破了。
@9hills 固定salt直接用binary keyfile。如果每个用户独立salt话，我觉得可以和hash后的长度相同，方便存储和分割。
觉得和hashed password合并在一起比较好，这样如果仅仅db被盗，还看不出个所以然来。
md5早就该放弃了，sha的话，sha512还是比较好的，256也不错，要求不高的话sha1也勉强。如果不追求性能的话，bcrypt挺好，我下次试试。

2011-12-29 19:48:09 +08:00

回复了 etre 创建的主题 › 程序员 › 密码泄路很疯狂，很多密码加密都使用了salt,如何安全的保存salt呢？

但是，一个用户一个salt话，给验证带来了麻烦。

1 ... 140 141 142 143 144 145 146 147 148 149 ... 170

❮

❯