存密码

作者: liyinkan | 来源:发表于2016-05-06 10:51 被阅读156次

在使用某平台的时候,使用修改密码功能,赫然发现我的当前密码被明文的显示在页面上,很友好的提醒我:你现在密码是什么,而且不需要我输入当前密码,直接输入新密码。

Untitled.png

我们把问题想深一些,对于那些【是不是需要提示】,【更应该让用户自己输入】这类关于交互的讨论我们暂时略过。

这个功能其实从本质上反映了一个问题:这个平台秘钥安全性其实就是一层纸。

此平台的密码竟然可以通过密钥解密出来

Paste_Image.png

他们技术是如上回复我的。

几个原则

  • 网站被攻破后拿到的密码无法一眼看出来密码;
  • 网站被攻破后拿到的密码无法简单解密出来;
  • 网站被攻破后拿到的密码无法简单暴力破解出来;
  • 网站密码不能被网站的内部人员得知并获取;

他们这样做让我一身冷汗,如果我是他们公司中有生产权限的人,或者管理员权限的人,我轻轻松松就能拿到所有客户的密码。简直就是神一般的存在。

简单而言,存储bcrypt, scrypt等算法输出的内容,不要用salted hash的方式存储密码,不要用加密的方式存储密码,当然,更不要明文存储。

参考文章:
https://www.zhihu.com/question/20479856
http://blog.jianguoyun.com/?p=438
http://marc-stevens.nl/research/md5-1block-collision/
https://en.wikipedia.org/wiki/Rainbow_table

相关文章

  • 存密码

    在使用某平台的时候,使用修改密码功能,赫然发现我的当前密码被明文的显示在页面上,很友好的提醒我:你现在密码是什么,...

  • 存生密码

    无论你是网红还是平凡人,人生的密码是一样的:这不微博粉丝4800万的张艺兴被润总赞扬“坚守你的勤奋,坚守你的基本盘...

  • SVN客户端使用

    从:客户端<=>服务器端,都需要使用账号密码。键入账号密码后会下图提示,yes将保存账号密码,存于"~/.subv...

  • Linux命令

    Linux命令 @(存笔记) Linux、Unix、Mac等常用命令 创建用户 Ubunturoot用户密码 创建...

  • SVN+Apache搭建

    1.首先需要安装svn服务,apache,svn模块 2.添加用户,设置用户名密码 所设置的用户名和加密后的密码存...

  • MAC高级技巧-如何在Mac电脑上查看已存WiFi的密码

    如何在Mac电脑上查看已存WiFi的密码 「钥匙串访问」应用程序不仅可以存储你的 Wi-Fi 密码,还可以存储你的...

  • uni-app 点击图标 显示/隐藏 密码

    写在前面~1.在登录的时候,用户在输入密码时,会增加一个眼睛的功能,用于查看密码是否输入正确。 大概这个样子~存个...

  • 银行卡上的钱安全吗

    性别:男 占事:老婆今晚打来电话,说拿卡去取钱,发现密码是错了,因为让我去存过几次钱,怀疑我存钱的时候被人偷了密码...

  • SpringBoot中一次性随机密码生成方式

    从产品的安全角度考虑,所有的敏感数据不能进行明文存储,比如数据库密码,Redis密码等,这些信息我们需要进行加密存...

  • 『学概念找员外』门限密码与多重签名

    门限密码 密钥分存还是有一个问题:密钥分存之后,如果后面要用原密钥来签名,那就需要取得子密钥,还原成原密钥,然后才...

网友评论

    本文标题:存密码

    本文链接:https://www.haomeiwen.com/subject/froylttx.html