最近因为业务关系注册了不少 IDC 公司的账户，怎么都是明文密码？

有好多注册一下，就回个注册成功的邮件，娘滴竟然是明文密码，是时候将所有的账户密码都改一遍了，估计我的常用密码都进库了，哭

dzxx36gyy

2017-08-12 18:27:27 +08:00

注册成功邮件里明文不代表数据库里存的是明文，而且，这种密码讲道理就不应该用常用密码吧

chinafeng

2017-08-12 18:30:07 +08:00

可能你用的是某个主机财务系统, 历史悠久...那个年代并不重视保护

eben

2017-08-12 18:54:16 +08:00

@chinafeng 我知道数据库里面不是，但发信记录里面有啊

mlhorizon

2017-08-12 19:00:31 +08:00

@eben #4 邮件能发出明文的密码，说明数据库里面某个地方肯定存有明文，或者能解密出来的明文。

oott123

2017-08-12 19:20:08 +08:00

@mlhorizon 也可能是注册的同时发送明文密码邮件，然后哈希存进数据库。
当然了，如果你说在收件人的邮件数据库里，那当然是可以找到的…

wvidc

2017-08-12 20:54:58 +08:00

目前国内的主机管理系统都是加密储存到数据库的
只是部分企业不重视注册成功的邮件提醒中包含明文密码而已

UnknownR

2017-08-13 00:47:38 +08:00

所以不要怕麻烦，用个随机生成码工具，重要账户密码都要分开

pqee

2017-08-13 01:58:14 +08:00

五楼说的不对。我做过类似的系统，密码确实会在发信记录里存在，但数据库不会是明文存储。

jugelizi

2017-08-13 07:47:35 +08:00

这个不能确定就是明文存密码
你注册了就把密码转成邮件内容发也没问题啊
或者人家用的加密方法可以解出用户密码都行的通
楼主应该非程序员

eben

2017-08-13 07:53:32 +08:00

@jugelizi 我这个库说的是社工库，明文密码发信记录里面有，另外你不要把那些 idc 系统想太复杂了

misty8873

2017-08-13 08:54:00 +08:00

星外吧。。。所以 IDC 加洋葱的二次验证的很少。。，

IDC 有需求可以找我啊

vishun

2017-08-13 09:52:05 +08:00

即便数据库中不是明文的，发件人的邮箱里有这个密码，和明文有什么区别。

boboliu

2017-08-13 10:40:43 +08:00

我记得某老版本的 whm 在后台能直接查到用户密码的，，，可能是记错了？

weakish

2017-08-13 10:49:36 +08:00

@vishun 如果发送方不保存发信的话，风险略有不同。

Zzzzzzzzz

2017-08-13 10:57:37 +08:00

各站各随机密码啊

@weakish whmcs 工单系统都是基于邮件的, 不主动删除都有存档的，我记得用 whmcs 的系统一般用户后台邮件记录里都能看到带密码明文的历史邮件

churchmice

2017-08-13 11:13:00 +08:00

@pqee 那别人黑了机器看到发信记录不就变相看到了密码？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/382455

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.