V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

最近因为业务关系注册了不少 IDC 公司的账户,怎么都是明文密码?

  •  
  •   eben · 12 天前 · 2484 次点击
    有好多注册一下,就回个注册成功的邮件,娘滴竟然是明文密码,是时候将所有的账户密码都改一遍了,估计我的常用密码都进库了,哭
    32 回复  |  直到 2017-08-13 19:12:24 +08:00
        1
    hanmiao   12 天前
    KeePass
        2
    dzxx36gyy   12 天前 via Android
    注册成功邮件里明文不代表数据库里存的是明文,而且,这种密码讲道理就不应该用常用密码吧
        3
    chinafeng   12 天前
    可能你用的是某个主机财务系统, 历史悠久...那个年代并不重视保护
        4
    eben   11 天前
    @chinafeng 我知道数据库里面不是,但发信记录里面有啊
        5
    mlhorizon   11 天前
    @eben #4 邮件能发出明文的密码,说明数据库里面某个地方肯定存有明文,或者能解密出来的明文。
        6
    oott123   11 天前 via Android
    @mlhorizon 也可能是注册的同时发送明文密码邮件,然后哈希存进数据库。
    当然了,如果你说在收件人的邮件数据库里,那当然是可以找到的…
        7
    wwek   11 天前
    LastPass
        8
    wvidc   11 天前
    目前国内的主机管理系统都是加密储存到数据库的
    只是部分企业不重视注册成功的邮件提醒中包含明文密码而已
        9
    SmiteChow   11 天前
    keepass
        10
    UnknownR   11 天前
    所以不要怕麻烦,用个随机生成码工具,重要账户密码都要分开
        11
    pqee   11 天前 via Android   ♥ 1
    五楼说的不对。我做过类似的系统,密码确实会在发信记录里存在,但数据库不会是明文存储。
        12
    jugelizi   11 天前
    这个不能确定就是明文存密码
    你注册了就把密码转成邮件内容发也没问题啊
    或者人家用的加密方法可以解出用户密码都行的通
    楼主应该非程序员
        13
    eben   11 天前 via Android
    @jugelizi 我这个库说的是社工库,明文密码发信记录里面有,另外你不要把那些 idc 系统想太复杂了
        14
    misty8873   11 天前
    星外吧。。。所以 IDC 加洋葱的二次验证的很少。。,

    IDC 有需求 可以找我啊
        15
    vishun   11 天前 via iPhone
    即便数据库中不是明文的,发件人的邮箱里有这个密码,和明文有什么区别。
        16
    boboliu   11 天前 via Android
    我记得某老版本的 whm 在后台能直接查到用户密码的,,,可能是记错了?
        17
    weakish   11 天前
    @vishun 如果发送方不保存发信的话,风险略有不同。
        18
    Zzzzzzzzz   11 天前   ♥ 1
    各站各随机密码啊

    @weakish whmcs 工单系统都是基于邮件的, 不主动删除都有存档的,我记得用 whmcs 的系统一般用户后台邮件记录里都能看到带密码明文的历史邮件
        19
    akwIX   11 天前 via Android
    远离小商家
        20
    churchmice   11 天前 via Android
    @pqee 那别人黑了机器看到发信记录不就变相看到了密码?
        21
    pqee   11 天前 via Android
    @churchmice 黑掉邮箱确实会
        22
    bilibilifi   11 天前 via iPhone
    只要储存了用户密码(而不是加盐的哈希),不论如何加密都不是一种负责任的工程实现
        23
    Admstor   11 天前
    系统历史比较重
    加上中小 IDC 的业务上面,很多还是人工确认,工单这块基本只是作为一个日志记录查看而已

    另外日子不好过,没钱投入开发新系统啊
        24
    misaka20038numbe   11 天前
    邮箱发送的是你注册时输入的密码,数据库是加密后存储的。例如有些注册域名登录信息发送给你邮箱的就是明文的随机密码(数据库中的是加密的),一般会附带一句尽快登录修改密码什么的。
        25
    Felldeadbird   11 天前 via iPhone
        26
    Felldeadbird   11 天前 via iPhone
    @dzxx36gyy 手机卡了一下…我现在的公司,之前就是这个发送方式,密码在邮件里面。然后…你可以想象到,做的这个设计的开发人员,他们肯定不会考虑到加密,安全的。等你接手后,我就把这块功能换了。
        27
    zhx1991   11 天前
    @jugelizi "用的加密方法可以解出用户密码"

    我看你才不是程序员吧, 完全不懂密码加密存储的意义
        28
    dzxx36gyy   11 天前 via Android
    @Felldeadbird 我见过一部分用 whmcs 注册邮件有明文密码的…不过 whmcs 本身密码是加密存储的
        29
    jugelizi   11 天前
    @zhx1991 你不要说你是 md5 密码的哦 或 md5+salt 密码哦
        30
    zhx1991   11 天前
    @jugelizi 一个密码加密后能被网站自己轻松解开其他人必定也可以. 密码真的泄露以后, 这种所谓的加密意义在哪里?
        31
    jugelizi   10 天前
    @zhx1991 加密主要是为了防止被拖库后密码被猜中 在源代码未泄漏或加密算法未公开的情况话 凭数据库里的字符串你猜中密码的概率....
        32
    zhx1991   10 天前
    @jugelizi https://arstechnica.com/information-technology/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/

    我虽然不是专门研究密码学的, 但是一个可逆的"加密算法"根本算不是加密这点常识还是有.
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1928 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 66ms · UTC 10:32 · PVG 18:32 · LAX 03:32 · JFK 06:32
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1