居然 Google 也有"Enter the last password you remember"，难道它也保存着密码明文？

不久前吃惊地发现在Google重置密码时也有这一步（可跳过）。

因为Hash差一个字符都面目全非，再加上我觉得谷歌对于40位以上的长密码应该不会浪费资源反向解密，所以我好奇谷歌是不是保存着原明文密码。

（但是对于同样要提供尽可能记得的原密码的腾讯、新浪等中国公司，不是怀疑而是相信肯定存有明文啦。）

sumhat

2015-05-10 16:33:54 +08:00

会保存以前用过的密码，商业版用户重置密码不得与之前用过的 100 个重复。

当然……保存 Hash 这种技术，在 MD5 时代就解决了 -_-

wy315700

2015-05-10 16:36:21 +08:00

为啥你会相信明文，我保存密码的密文不也一样吗。

casparchen

2015-05-10 16:37:16 +08:00

为什么不可以存hash？然后比较last password的hash？

imlonghao

2015-05-10 16:52:27 +08:00

不明白为什么会想到存明文密码

难道我就不可以存下你每一次密码的密文吗？

sengxian

2015-05-10 16:58:50 +08:00

楼主的意思是说：以前的密码不一定可以完全写对，但只要八九不离十就能通过；但对于两个相似度极高的密码，hash值却大不同，所以要实现这个功能，想到了明文密码吧。

243205964

2015-05-10 17:01:13 +08:00

@sengxian 我觉得应该必须完全写对，不然我猜某个人的习惯改某人的密码不是很随意吗？

sengxian

2015-05-10 17:03:47 +08:00

@243205964 申诉不是只这一项就可以找回的，记得我以前申诉我的QQ填了好多信息才过

wy315700

2015-05-10 17:04:30 +08:00

@243205964
@sengxian

simhash

https://liangsun.org/posts/a-python-implementation-of-simhash-algorithm/

类似的明文会输出类似的hash值

cszhiyue

2015-05-10 17:11:38 +08:00

@wy315700 应该不能是simhash，如果是simhash那不是有助于破解密码？

msg7086

2015-05-10 17:15:07 +08:00

而且这不难理解吧。
如果你改过一次密码，但是输入的是修改之前的密码，Google一样会提醒说，你是不是输入了旧密码？

Felldeadbird

2015-05-10 17:46:04 +08:00

有一种可能，如果输入错误大于指定位数，应该验证你失败。就像我旧密码为123456
我输入了12345 谷歌在自动补全几个位数的哈希值进行旧记录匹配。
这样就不用明文保存，也可以验证完整性。

caomu

2015-05-10 18:40:24 +08:00

@Felldeadbird google哪知道你hash前密码的位数。。。

ryd994

2015-05-10 23:09:46 +08:00

@Felldeadbird 不错的想法，分片hash，然而密码一共也没多长……
@caomu 为什么不知道？密码明文发送啊，加密交给https

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/189957

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.