V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
taobibi
V2EX  ›  问与答

三年前注册过的服务平台,突然发消息说注册口令为弱口令需要修改,注册完的口令不是都变 md5 了么?怎么判断弱口令的?

  •  
  •   taobibi · 2020-01-04 23:47:18 +08:00 · 4391 次点击
    这是一个创建于 1778 天前的主题,其中的信息可能已经有所发展或是发生改变。
    口令确实只有数字和字母。但是长度还是挺长的,没有符号和大写的这种。
    现在有点担心呀,要么平台是把 md5 都反向了明文,要么,网站干脆就存的是明文。按说弱口令在注册时判断没问题,还有注册后很久才提示弱口令的??
    40 条回复    2020-01-05 17:06:40 +08:00
    Whsiqi
        1
    Whsiqi  
       2020-01-04 23:48:40 +08:00 via Android
    他们就是明文保存的
    mercury233
        2
    mercury233  
       2020-01-04 23:50:47 +08:00   ❤️ 9
    可能平台对自己搞了渗透测试,用常见密码和撞库测出来的
    whalegao
        3
    whalegao  
       2020-01-04 23:54:30 +08:00 via iPhone
    密码都会加盐。渗透测试测不出来的
    darknoll
        4
    darknoll  
       2020-01-04 23:56:25 +08:00 via Android
    数据库里面是加密的,但是你传过去的密码不是能看到么
    cydian
        5
    cydian  
       2020-01-04 23:59:01 +08:00 via Android
    显然是明文
    sarices
        6
    sarices  
       2020-01-05 00:06:01 +08:00
    将常用弱口令 hash 一下对比就知道了吧,如果你的密码很复杂,然后说是弱口令那可能有问题,你的密码是什么?
    Mac
        7
    Mac  
       2020-01-05 00:07:39 +08:00
    撞库
    ziseyinzi
        8
    ziseyinzi  
       2020-01-05 00:13:32 +08:00 via Android
    密码表
    Tianao
        9
    Tianao  
       2020-01-05 00:16:08 +08:00
    另一种可能——钓鱼消息。
    Rwing
        10
    Rwing  
       2020-01-05 00:16:33 +08:00
    撞库正解
    skyrem
        11
    skyrem  
       2020-01-05 00:19:16 +08:00 via Android
    如果是被拖库了不好意思说呢
    Sylv
        12
    Sylv  
       2020-01-05 00:29:57 +08:00
    也有可能是最近一次登录输密码时候检测的。
    Perry
        13
    Perry  
       2020-01-05 00:53:36 +08:00 via iPhone
    以国内公司的尿性 怕是真的是明文储存
    md5 反向是什么鬼
    Perry
        14
    Perry  
       2020-01-05 00:56:25 +08:00 via iPhone
    如果公司真的用的 md5 加盐,那得先把彩虹表撒点盐然后和存储的做比较,如果每个用户对应不一样的盐,那就可能要跑更久一点。总之只能过滤掉彩虹表里的弱密码,分析不出来密码是不是通过了强口令的要求(密码长度、有没有至少 n 个特殊符号等等)
    taobibi
        15
    taobibi  
    OP
       2020-01-05 01:17:12 +08:00
    额,那估计可能是撞库了,密码是 8 个数字+6 个字母的。我感觉现在国内公司应该还不敢明文存密码吧。印象中听说 csdn 明文存密码的时候我还是中学生呢
    imn1
        16
    imn1  
       2020-01-05 01:17:56 +08:00
    这个要讨论么?
    好多网站都有啊,一边输入,一边判断强弱,虽然只是前端,但在提交时加个字段 0/1,后端就知道强弱了
    后端检查也可以,密码接收后、匹配前做个判断
    为啥非要从库里提取逐个检查彩虹表这么麻烦? CPU 闲得慌?
    如果直接显示出你的密码,那倒是要担心一下
    ila
        17
    ila  
       2020-01-05 01:35:48 +08:00 via Android
    @imn1 例如,哪个网站?
    wzzzx
        18
    wzzzx  
       2020-01-05 01:39:06 +08:00 via Android
    我觉得还有可能是他们事先跑过一遍弱密码了
    version0
        19
    version0  
       2020-01-05 02:22:01 +08:00 via Android
    数据库是 md5 的,但是你穿过去的密码在 md5 加密对比前可以知道是否是弱密码啊
    ClarkAbe
        20
    ClarkAbe  
       2020-01-05 02:50:08 +08:00 via Android
    {pass_show:xxxxx,password:md5}
    msg7086
        21
    msg7086  
       2020-01-05 05:50:45 +08:00   ❤️ 2
    首先吧……你怎么知道网站「判断」了弱口令?

    它就不能群发一遍?
    airplayxcom
        22
    airplayxcom  
       2020-01-05 06:28:11 +08:00 via iPhone
    这有啥奇怪 就连 csdn 也存过明文密码 υ᷇(⚆•̫⚆)υ᷆
    Pastsong
        23
    Pastsong  
       2020-01-05 06:32:33 +08:00
    下次登陆的时候 hash 前查一次不就好了(最近 Github 就是这么干的)
    loading
        24
    loading  
       2020-01-05 09:54:00 +08:00   ❤️ 1
    这段时间你登陆过吗?
    如果有,那就是在你发送密码过去的时候验证的,如果一直没输入过密码,基本实锤明文。
    imn1
        25
    imn1  
       2020-01-05 09:55:14 +08:00
    @ila
    好多论坛都有,应该是某个论坛的产品带有
    marcomarco
        26
    marcomarco  
       2020-01-05 09:57:33 +08:00 via iPhone
    注册或修改密码时会给你的密码进行强度评级并把评级保存啊,如果是低级的就给你发信息呗。
    imn1
        27
    imn1  
       2020-01-05 09:57:51 +08:00
    @ila
    建行 APP 也有,工行 APP 也有
    jugelizi
        28
    jugelizi  
       2020-01-05 10:31:06 +08:00   ❤️ 1
    真怀疑你们是真的程序员吗
    回答的感觉没写过代码
    agdhole
        29
    agdhole  
       2020-01-05 10:43:32 +08:00
    可能他们发现已经跑路的程序员用的是 md5,而 md5 不是加密算法
    miao
        30
    miao  
       2020-01-05 11:06:32 +08:00
    也可能这个平台给所有人群发的邮件用的都是同一个内容.
    feng12345
        31
    feng12345  
       2020-01-05 11:07:56 +08:00   ❤️ 1
    极大概率是收到消息被脱裤了,又不好意思光明正大的说,只能这么提示了 楼上都是从程序员的角度看问题
    Tink
        32
    Tink  
       2020-01-05 11:26:18 +08:00 via iPhone
    这个简单啊,搜集常见的弱密码然后 md5 加密再对比就可以了
    locoz
        33
    locoz  
       2020-01-05 11:26:30 +08:00 via Android   ❤️ 1
    被脱库 /撞库+1。

    换位思考一下,正常情况即使之前没有弱口令检测的设定,现在突然加上了也不应该对旧的密码全部扫一遍,费力不讨好,没啥必要。

    即使要扫一遍,也不能证明他们存储时就是存的明文。没加盐的话可以直接上彩虹表,加了盐的话可以把弱口令字典按规则做一遍 hash 再匹配,效果也是一样的。( cmd5 之类的“md5 破解”平台其实就是这个原理)
    gamexg
        34
    gamexg  
       2020-01-05 11:41:47 +08:00 via Android
    用已泄漏密码库的密码撞
    h123123h
        35
    h123123h  
       2020-01-05 11:44:08 +08:00 via iPhone
    会不会是你最近登录过,你登录的时候如果是弱口令他记下来然后再发消息给你
    laoyur
        36
    laoyur  
       2020-01-05 12:35:40 +08:00   ❤️ 1
    古代几个农民在讨论皇帝是不是用的金锄头
    此事一楼绝壁是真相了
    taobibi
        37
    taobibi  
    OP
       2020-01-05 16:48:42 +08:00
    @imn1 不是新注册的时候判断弱口令的,三年的老账号了。近期登陆过,所以我感觉也有可能是近期登陆的时候采集的明文进行提醒的。口令不是常用的弱口令,只是没有大写和符号。
    taobibi
        38
    taobibi  
    OP
       2020-01-05 16:49:51 +08:00
    @loading 近期登陆过,估计是近期登陆的时候判断的
    iamverylovely
        39
    iamverylovely  
       2020-01-05 17:04:37 +08:00 via Android
    加密后的结果不是一样的吗? count*
    iamverylovely
        40
    iamverylovely  
       2020-01-05 17:06:40 +08:00 via Android
    统计密码 md5 在数据库出现的频率。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1128 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:48 · PVG 02:48 · LAX 10:48 · JFK 13:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.