三年前注册过的服务平台，突然发消息说注册口令为弱口令需要修改，注册完的口令不是都变 md5 了么？怎么判断弱口令的？

他们就是明文保存的

可能平台对自己搞了渗透测试，用常见密码和撞库测出来的

密码都会加盐。渗透测试测不出来的

数据库里面是加密的，但是你传过去的密码不是能看到么

显然是明文

将常用弱口令 hash 一下对比就知道了吧，如果你的密码很复杂，然后说是弱口令那可能有问题，你的密码是什么？

撞库

密码表

另一种可能——钓鱼消息。

撞库正解

如果是被拖库了不好意思说呢

也有可能是最近一次登录输密码时候检测的。

以国内公司的尿性 怕是真的是明文储存
md5 反向是什么鬼

如果公司真的用的 md5 加盐，那得先把彩虹表撒点盐然后和存储的做比较，如果每个用户对应不一样的盐，那就可能要跑更久一点。总之只能过滤掉彩虹表里的弱密码，分析不出来密码是不是通过了强口令的要求（密码长度、有没有至少 n 个特殊符号等等）

额，那估计可能是撞库了，密码是 8 个数字+6 个字母的。我感觉现在国内公司应该还不敢明文存密码吧。印象中听说 csdn 明文存密码的时候我还是中学生呢

这个要讨论么？
好多网站都有啊，一边输入，一边判断强弱，虽然只是前端，但在提交时加个字段 0/1，后端就知道强弱了
后端检查也可以，密码接收后、匹配前做个判断
为啥非要从库里提取逐个检查彩虹表这么麻烦？ CPU 闲得慌？
如果直接显示出你的密码，那倒是要担心一下

@imn1 例如，哪个网站？

我觉得还有可能是他们事先跑过一遍弱密码了

数据库是 md5 的，但是你穿过去的密码在 md5 加密对比前可以知道是否是弱密码啊

{pass_show:xxxxx,password:md5}