这是不是能证明 QQ 现在还是明文保存密码的？

@dawn009 把小于等于特定长度的所有字符串都 hash 一遍，相当一部分的盐就没用了

@wy315700 不是，快速登录点头像（不输密码）也能检测

@geelaw 点头像快速登录也能查

稍微上点规模的公司，造个库有多难，写好算法让程序自己跑，一个库一天时间都不用。

还有，楼上说的加盐之类的，都不需要去讨论。弱密码库肯定是用相同算法做的，不存在不能比对的问题。

当然，这种方法是最简单粗暴的，腾讯这种体量的公司，更高层次的方法毫无压力。所以说，不要拿个人开发的视角去看企业的开发，你觉得很烦的事，在企业开发角度上往往是最简单有效的。

@wenhaoy 穷举多大事阿，腾讯是买不起硬盘存数据还是买不起 CPU/GPU 穷举了

检测密码强度的话，在你的密码转 hash 前检测一个强度结果，存起来，你每次访问都告诉你这个，就可行啦，不需要知道密码嘛~

@wenhaoy 那么直接存储强度呢？

我意在表明能查强度和明文之间是充分不必要的关系。

腾讯以前找回密码的时候，即使填历史密码的片段，注意，是片段，也能找回成功。我用这种方法申诉，当时只填了历史登陆地点和历史密码的中间一个片段，居然成功了，所以从那开始我也怀疑腾讯是不是明文存储密码。

但是找不出其他什么强力证据来解释。希望腾讯官方什么时候能出来解答一下这些疑惑。

这个检测是本机 js 检测的，你以为是回传到服务器做检测的么？

@hyperdak288 我自始至终没说这是一个“大事”啊。刚看了腾讯去年的财报，我觉得应该可以买的起硬盘，也能买的起 CPU/GPU

或许是自己的一套加密算法，然后支持解密。。。。

@geelaw 存储强度我觉得不太可能，也有局限性。

强度如果用分值表示的话，这个值是随着时间的推移（计算性能的提升），应该是要调整的。如果没有原始密码的话，调整权重怎么算呢？

@f2f2f 如果是 js 检测，怎么解释“快速登录”（电脑开着 QQ，直接点头像登陆）也能计算强弱密码？

@dot 存储强度我觉得不太可能，也有局限性。

强度如果用分值表示的话，这个值是随着时间的推移（计算性能的提升），应该是要调整的。如果没有原始密码的话，调整权重怎么算呢？

@Tokin “支持解密”就是最大的隐患

人家自己碰撞一次就知道了呗

一个思路：在库里查一下相同 hash 的人有多少，大于一个值之后就提示密码强度太弱

@wenhaoy 或许腾讯实现了 SHE/FHE 也不一定啊

楼上各位讨论那么热闹，请问有没有做过登录系统的？

密码当然是明文上传到服务器，然后 hash，最后入库。

在 hash 之前，密码是明文，随便就检查了，如果是弱密码，直接返回 error，如果不是，那就 hash 入库。

@IllBeBack 你来的晚，可能没看大家讨论的内容。

现在问题是，我没有用密码登录，腾讯也能检测密码强度