未分類
29 7 月 2019

三年前注册过的服务平台,突然发消息说注册口令为弱口令需要修改,注册完的口令不是都变 md5 了么?怎么判断弱口令的?

三年前注册过的服务平台,突然发消息说注册口令为弱口令需要修改,注册完的口令不是都变 md5 了么?怎么判断弱口令的?

資深大佬 : taobibi 44

口令确实只有数字和字母。但是长度还是挺长的,没有符号和大写的这种。
现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
大佬有話說 (40)

  • 資深大佬 : Whsiqi

    他们就是明文保存的

  • 資深大佬 : mercury233

    可能平台对自己搞了渗透测试,用常见密码和撞库测出来的

  • 資深大佬 : whalegao

    密码都会加盐。渗透测试测不出来的

  • 資深大佬 : darknoll

    数据库里面是加密的,但是你传过去的密码不是能看到么

  • 資深大佬 : cydian

    显然是明文

  • 資深大佬 : sarices

    将常用弱口令 hash 一下对比就知道了吧,如果你的密码很复杂,然后说是弱口令那可能有问题,你的密码是什么?

  • 資深大佬 : Mac

    撞库

  • 資深大佬 : ziseyinzi

    密码表

  • 資深大佬 : Tianao

    另一种可能——钓鱼消息。

  • 資深大佬 : Rwing

    撞库正解

  • 資深大佬 : skyrem

    如果是被拖库了不好意思说呢

  • 資深大佬 : Sylv

    也有可能是最近一次登录输密码时候检测的。

  • 資深大佬 : Perry

    以国内公司的尿性 怕是真的是明文储存
    md5 反向是什么鬼

  • 資深大佬 : Perry

    如果公司真的用的 md5 加盐,那得先把彩虹表撒点盐然后和存储的做比较,如果每个用户对应不一样的盐,那就可能要跑更久一点。总之只能过滤掉彩虹表里的弱密码,分析不出来密码是不是通过了强口令的要求(密码长度、有没有至少 n 个特殊符号等等)

  • 資深大佬 : taobibi

    额,那估计可能是撞库了,密码是 8 个数字+6 个字母的。我感觉现在国内公司应该还不敢明文存密码吧。印象中听说 csdn 明文存密码的时候我还是中学生呢

  • 資深大佬 : imn1

    这个要讨论么?
    好多网站都有啊,一边输入,一边判断强弱,虽然只是前端,但在提交时加个字段 0/1,后端就知道强弱了
    后端检查也可以,密码接收后、匹配前做个判断
    为啥非要从库里提取逐个检查彩虹表这么麻烦? CPU 闲得慌?
    如果直接显示出你的密码,那倒是要担心一下

  • 資深大佬 : ila

    @imn1 例如,哪个网站?

  • 資深大佬 : wzzzx

    我觉得还有可能是他们事先跑过一遍弱密码了

  • 資深大佬 : version0

    数据库是 md5 的,但是你穿过去的密码在 md5 加密对比前可以知道是否是弱密码啊

  • 資深大佬 : ClarkAbe

    {pass_show:xxxxx,password:md5}

  • 資深大佬 : msg7086

    首先吧……你怎么知道网站「判断」了弱口令?

    它就不能群发一遍?

  • 資深大佬 : airplayxcom

    这有啥奇怪 就连 csdn 也存过明文密码 υ᷇(⚆•̫⚆)υ᷆

  • 資深大佬 : Pastsong

    下次登陆的时候 hash 前查一次不就好了(最近 Github 就是这么干的)

  • 資深大佬 : loading

    这段时间你登陆过吗?
    如果有,那就是在你发送密码过去的时候验证的,如果一直没输入过密码,基本实锤明文。

  • 資深大佬 : imn1

    @ila
    好多论坛都有,应该是某个论坛的产品带有

  • 資深大佬 : marcomarco

    注册或修改密码时会给你的密码进行强度评级并把评级保存啊,如果是低级的就给你发信息呗。

  • 資深大佬 : imn1

    @ila
    建行 APP 也有,工行 APP 也有

  • 資深大佬 : jugelizi

    真怀疑你们是真的程序员吗
    回答的感觉没写过代码

  • 資深大佬 : agdhole

    可能他们发现已经跑路的程序员用的是 md5,而 md5 不是加密算法

  • 資深大佬 : miao

    也可能这个平台给所有人群发的邮件用的都是同一个内容.

  • 資深大佬 : feng12345

    极大概率是收到消息被脱裤了,又不好意思光明正大的说,只能这么提示了 上都是从程序员的角度看问题

  • 資深大佬 : Tink

    这个简单啊,搜集常见的弱密码然后 md5 加密再对比就可以了

  • 資深大佬 : locoz

    被脱库 /撞库+1。

    换位思考一下,正常情况即使之前没有弱口令检测的设定,现在突然加上了也不应该对旧的密码全部扫一遍,费力不讨好,没啥必要。

    即使要扫一遍,也不能证明他们存储时就是存的明文。没加盐的话可以直接上彩虹表,加了盐的话可以把弱口令字典按规则做一遍 hash 再匹配,效果也是一样的。( cmd5 之类的“md5 破解”平台其实就是这个原理)

  • 資深大佬 : gamexg

    用已泄漏密码库的密码撞

  • 資深大佬 : h123123h

    会不会是你最近登录过,你登录的时候如果是弱口令他记下来然后再发消息给你

  • 資深大佬 : laoyur

    古代几个农民在讨论皇帝是不是用的金锄头
    此事一绝壁是真相了

  • 資深大佬 : taobibi

    @imn1 不是新注册的时候判断弱口令的,三年的老账号了。近期登陆过,所以我感觉也有可能是近期登陆的时候采集的明文进行提醒的。口令不是常用的弱口令,只是没有大写和符号。

  • 資深大佬 : taobibi

    @loading 近期登陆过,估计是近期登陆的时候判断的

  • 資深大佬 : iamverylovely

    加密后的结果不是一样的吗? count*

  • 資深大佬 : iamverylovely

    统计密码 md5 在数据库出现的频率。