彩虹岛密码找回只用原始密码找回密码的网站

为什么大部分网站的密码找回设置都是直接设置新密码,而不会给出原有密码?
为什么大部分网站的密码找回设置都是直接设置新密码,而不会给出原有密码?
为什么大部分网站的密码找回设置都是直接设置新密码,而不会给出原有密码?
目前为止,除了某考试报名网站的“找回密码”操作可以最终直接得到原有密码,我用过的大部分网站都是通过直接设定新密码来完成密码的找回。这样做是基于什么原理?有什么好处?理想是指路明灯。没有理想,没有坚定的方向;没有方向,没有生活。——托尔斯泰网,帮助企业招到更适合的人才,pincai.com
发表于 14:23:06.000000
想知道淘宝等这些大公司是怎么加密的,也是这种流行的MD5吗?
发表于 14:21:13.000000
如果网站能显示你的密码,那么就建议你别去那家网站了。既然能显示给你看,很明显内部人员也看得一清二楚。
发表于 14:18:18.000000
1:绝大多数正常的网站,密码在数据库中存储的方式都是将你输入的密码经过一个加密算法加密后存储进去(流行的有MD5 + 随机salt、SHA等)。所以理论上网站是不可能知道你设置的密码的。登录验证的时候,将你输入的密码经过相同的加密方法加密后和数据库中对比即可完成验证。为了安全,这些加密的算法是不可逆的,也就是说,一般人即使能进入数据库,查到存储的密码,看到的也只是一堆加密后的内容,无法得出原始密码(明文)。所以找回密码只能重设,不能直接给,给了你也是加密后的内容,你自己也看不出来、算不出来密码是什么。这是出于安全考虑。2:能直接给你密码的考试报名网站很可能是明文存储密码,非常不安全。目前世界上估计除了刚入门的小白编程用户以及低级政府机构下辖的网站会这么做了。 update:根据评论搜索了一圈儿,除了上述说的不靠谱网站外,有些历史比较久的大网站也存在明文存储密码或者部分明文存储的现象。但是现在估计不会有那个正常网站会如此做了,对用户来说太危险。那些曾经明文存储密码的诸如sina,CSDN也在被爆库以后改进了密码存储方法。以上说的『算法不可逆』、『即使查到存储的密码,也是加密后的内容,无法得出原始密码』,仅正对一般用户。世界上的黑客组织们总是热衷于做一般人做不到的事情,他们通常通过暴力无穷尝试、常用字典等方式,来『猜出』密文所对应的明文。所以,为了自身账号安全,即使是知道网站会将密码加密,也应该使用尽量复杂的密码以及在不同网站使用不同密码。
发表于 14:11:31.000000
这个问题我觉得不应该问这样做有什么好处,而应该问不这样做有什么坏处。如果网站明文存储了密码,意味着管理员可以用你的帐号在网站里做比你更多的事(临时提权),更可怕的是很多人习惯多个网站使用同一个用户名和密码。。。。大厦管理员有了你家钥匙,进而拿了你的各种证件冒用了你的身份办了信用卡还给你朋友借钱。。。。更可怕的是就算管理员够自制,钥匙可只是放在值班室很可能被人拿走的。。。。
发表于 13:59:16.000000
哪个网站用明文存储密码,哪个网站说不定下一分钟就会重蹈CS*N的悲剧。
发表于 13:58:05.000000
MD5不是加密算法,是散列算法。不要误人子弟。
发表于 13:52:37.000000
如果网站可以告诉你旧密码是啥,那说明:密码被储存在此网站的某个数据库里面,该网站管理员就有可能偷窥到你的密码。并且万一存放密码的数据库被人爆菊了,那所有用户的密码就都泄露了。。。去年CSDN社区曾发生过这样的事情,CSDN把用户密码明文存在数据库里面,有一天数据库被人下载了~~~文明一点的做法是网站不存储你的密码:世界上有MD5算法这个很神奇的东东,不管你有神马东西,MD5都能把它变成一段无规律字符串(比如0ca175b9c0f726a831d895e),并且这个过程是不能逆运算的,即无法通过MD5值算出原始密码。那么网站就可以仅存储你密码的MD5值。你下次登录的时候,输入密码后网站自动计算MD5值,如果和数据库存储的MD5值一样,那说明你的密码是正确的。如果某天数据库被人下载了,那后果也不算严重。为嘛?因为老子就没存储用户密码,你怎么从老子这里偷用户密码啊。然后,道高一尺魔高一丈:有一天,一个无聊的宅男突然灵光一现:既然老子无法从MD5值算出密码,那老子干脆把所有可能密码的MD5值都预先算出来存起来,以后弄到MD5值只要查查表就可以找到密码了。于是彩虹表被发明了。再然后,魔高一尺道高一丈:聪明的程序员怎么可能束手无策呢?他们想,老子让你搞彩虹表,那好,我把用户密码用MD5算1000遍,再用SHA-1算1000遍,再用自己编的算法算1000遍然后再保存到数据库(仅用作举例,实际不会搞这么复杂)。我让你搞彩虹表,搞到吐血也搞不出来。这种行为被叫做加盐。。从此网站数据库里面的用户密码就安全了:于是坏银们又想,既然老子得到了加了盐的密码也没用,那老子干脆趁密码还没被加盐的时候就截下来吧。于是,就有了如下的新闻:电信运营商也参与盗号 发表于 13:49:07.000000
很同意这里面一个童鞋的说法,觉得有必要发一个分开的***,澄清一下概念。根据信息安全等级的不同,有些用户信息是hashing的,而有些是encription。比如上面很多童鞋提到的MD5, SHA256都是hashing。hashing是不可逆的。本质上可以简单解释为多个输入可以generate一个相同的输出。所以无法知道你最初的信息是什么。你要求要回旧密码时,网站无法可逆找回你的旧密码,发给你一个巨长的MD5字符串也不行,就只能让你重置了。而且密码选择hashing而不是encription的原因就是,你也不想让管理员看见你密码对不对?很多人有习惯用一样的用户名,密码在所有的社交网络,银行账户上,密码不hashing,很有可能被官方盗取你都不知道。但是有人的地方就有江湖,大家可以google下rainbow table,专门用来破解密码hashing。encription也就是加密,是有一个key的,只要拿到这个key就可以把原来的信息找回。密码一般不是加密的,因为就不能有这个key留下让它找回的可能。也许,用户名是可以加密的,因为即使被破解出来,也没什么意义。再看了上面童鞋回复补充个好玩的,不是政府网站或者老旧网站才会干出奇葩事件。曾经有一次特别严重的索尼play station 7700万用户密码泄露事件,泄露后发现,索尼竟然爆炸奇葩的用plain text存的密码,让业界的小伙伴全部震惊了。从这件事情的教训上,教数据库和网页设计的教授直接出了一道题,什么时候可以用plain text存储用户密码?***是never ever ever。。。。。数据安全的问题困扰着任何地方,讲课的教授曾经在FBI,CIA等地方实习,有一段时间CIA的信息安全太坏了,数据库弄的太烂了,没人愿意跟他们分享数据:)
发表于 13:30:37.000000
既然是密码就只能一个人知道,任何人也就不知道了。安全的密码在系统里面应该是通过不可逆的算法计算出来的一段编码,登陆的时候用同样的算法编码,然后判断2者是否一致;能直接返回明文明码的,只能说明系统部安全!
发表于 13:27:31.000000
好像记得加密算法有两类,RSA与MD5是典型代表RSA的加密算法,利用秘钥加密之后,存入数据库,利用秘钥可以将加密结果解密,得到你输入的密码,这种加密算法是可逆的。MD5的加密算法,利用秘钥加密之后,存入数据库,利用秘钥是没法将加密结果解密,只能每次你输入密码后,再进行秘钥运算,直接和数据库的结果比较,这种加密算法称为不可逆的。MD5的好处是管理员拿着数据库,也很难得到你的密码。我估计就是这个原因,用MD5的比较多,所以没法给出原密码,只能密码重置。
发表于 13:25:09.000000
一般密码都是加密处理过的,而且都是单向不可逆的。这也是为了保证安全性。原有的密码会在被新生成的密码更新掉。
值得加入的圈子彩虹岛密码找回 - 发一发信息网
您可能感兴趣的彩虹岛设完密保卡,原始资料能找回密码么_百度知道彩虹岛怎么找回密码_百度知道

参考资料

 

随机推荐