V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cevincheung
V2EX  ›  问与答

关于某些站点明文保存密码有看法

  •  
  •   cevincheung · 2015-01-26 00:41:40 +08:00 · 2860 次点击
    这是一个创建于 3580 天前的主题,其中的信息可能已经有所发展或是发生改变。

    以前我就这么干,但是我并没有“保存”只是发送。

    不如来段代码来的实际

    $password = generatePassword(10);
    // password: 1234567890
    
    sendmail('[email protected]',"your password is {$password}");
    $db->execute("update users set password = ? where uid = x", sha1($password));
    

    有些时候是不是有些反应过激了……

    第 1 条附言  ·  2015-01-29 23:45:28 +08:00
    之二:https://www.v2ex.com/t/166617
    12 条回复    2015-01-26 08:27:56 +08:00
    publicID123
        1
    publicID123  
       2015-01-26 01:30:47 +08:00
    数据还是过境公网了。而且“献”给了对方邮局运营商。
    publicID123
        2
    publicID123  
       2015-01-26 01:31:04 +08:00
    反正,我会获取用户明文密码。
    2048位RSA加密一下,存进数据库。程序中只有公钥。私钥存U盘里自己收好。
    这样,只有我一个人能拥有这份数据。即使被黑客拖库。
    dndx
        3
    dndx  
       2015-01-26 02:22:35 +08:00
    你能保证邮件在传输过程中没有被人截获?
    NeoAtlantis
        4
    NeoAtlantis  
       2015-01-26 02:38:38 +08:00
    不要用md5,不要用sha1,对也不要用sha512,不要用任何单一的散列,不要用加盐,不要用两个复合的散列,不要用三个复合的散列……

    要用pbkdf2或者bcrypt或者scrypt来拖延时间……
    imn1
        5
    imn1  
       2015-01-26 02:50:49 +08:00
    结合最近银行内鬼事件……
    明文传送也只是一次拦截可以获取机会,但明文保存就有无数次可以获取的机会

    看到邮件发回我的密码的网站,一律降级对待该站点——
    换邮箱、换密码,甚至舍弃原来帐号另注册一个
    帐号、邮箱、密码一律都换成被偷也没所谓那种,至少不能从该密码推测其他站点的密码
    ericls
        6
    ericls  
       2015-01-26 03:02:49 +08:00
    如果不用明文,相关部门要你提供用户密码的时候 咋办呢?
    NeoAtlantis
        7
    NeoAtlantis  
       2015-01-26 05:05:38 +08:00 via Android
    @ericls 直接从你要服务器的权限就好啊,都有关部门了还这么麻烦…
    lzxgh621
        8
    lzxgh621  
       2015-01-26 05:39:01 +08:00
    @ericls 相关部门为何要密码?直接要数据,不给就拔网线。。。
    lzxgh621
        9
    lzxgh621  
       2015-01-26 05:39:58 +08:00
    @NeoAtlantis 性能。。。
    NeoAtlantis
        10
    NeoAtlantis  
       2015-01-26 07:23:51 +08:00
    @lzxgh621 如果用单一散列很快,那么生成彩虹表就更快了。这就是拖延时间的意义。
    NeoAtlantis
        11
    NeoAtlantis  
       2015-01-26 07:25:40 +08:00
    @lzxgh621 有关部门不应该是都不用张嘴直接去服务器登进去调查么……
    babyname
        12
    babyname  
       2015-01-26 08:27:56 +08:00 via iPhone
    这么说吧 明文是某部门要求的 网站也不想明文
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2502 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:08 · PVG 00:08 · LAX 08:08 · JFK 11:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.