这是一个创建于 4182 天前的主题,其中的信息可能已经有所发展或是发生改变。
discuz的用户表应该是加盐处理的,应该是md5($password.$salt),加盐都能被破,这意味着加盐也不安全了么?还是现在的彩虹表过于庞大?
现在我的密码基本上都由1Password接管了,如果有一天,1Password中招,真不敢想像了。
现在我的密码基本上都由1Password接管了,如果有一天,1Password中招,真不敢想像了。
 | 1 kinghenry 2014-05-15 09:32:54 +08:00 12位随机密码是王道。 |
 | 2 DreaMQ 2014-05-15 09:34:22 +08:00 via Android 小米论坛不像是discuz吧。。。应该没加盐 |
 | 3 wy315700 2014-05-15 09:36:01 +08:00 是盐不够长,6位的盐很好破解的 |
 | 4 yibin001 OP |
| 5 yibin001 OP @wy315700 盐的长度不够是一点,另外一点,直接password+salt也是一个缺陷吧,为啥不把按一定规则打乱,再与password组合呢。 |
 | 6 skydiver 2014-05-15 09:39:23 +08:00 via Android 也不该用md5,太弱了 |
 | 7 sneezry 2014-05-15 09:39:52 +08:00  1 @wy315700 不对,盐的长度不影响安全性。加盐密码都是单独穷举的,一个结果只能对应一个盐和密码的组合。由于破解加盐密码必须要知道盐是什么,所以在已知盐的情况下,盐的长度不影响破解难度。加盐在一定程度上增加了破解成本(通用彩虹表不适用了,需要单独计算),但弱密码还是很容易暴露破解到。 |
 | 8 iwege 2014-05-15 09:41:49 +08:00 其实网站还算好了,自家wifi的密码和安全才是王道... |
 | 10 dong3580 2014-05-15 09:42:52 +08:00 |
| 13 dong3580 2014-05-15 09:44:07 +08:00 不要再想象什么强密码了,任何一次密码泄露都是有猪一样的队友,很少是自己主动泄露的例子. |
| 14 sneezry 2014-05-15 09:45:35 +08:00 @yibin001 那基本是无解的。不知道盐和密码怎么组合的光凭猜那是天方夜谭。不过小米论坛用的discuz加盐算法,呵呵。 |
| 15 yibin001 OP 早上在说这件事的时候,我还在想,1Password这样的密码文件存在本地的,会不会也有中招的可能。 要知道1Password不光有用户名和密码,还有登录页的url。 |
| 16 yibin001 OP @sneezry 另外dz的加盐,是md5(md5($password).$salt),为啥不md5($password.$salt)这样来处理? |
| 17 sneezry 2014-05-15 09:53:39 +08:00 @yibin001 可以提高安全性啊,md5($pwd)不就是一个32位的字母数字混合字符串吗,这要比一般的密码明码更难破解嘛 |
 | 18 CoX 2014-05-15 10:04:26 +08:00 用hash_password存吧 |
 | 19 codingpp 2014-05-15 10:08:37 +08:00 http://www.cmd5.com 这个网址的解密是如何实现的呢 |
 | 23 loading 2014-05-15 10:28:00 +08:00 via Android 那flask这次的处理也不够安全了? |
| 24 loading 2014-05-15 10:29:17 +08:00 via Android fix: Flask库这次的密码处理方式也不够安全?我是否要改改再用呢? |
 | 25 coosir 2014-05-15 10:35:47 +08:00 其实起码应该掺杂点其他信息,比如注册时间,比如用户名,比如某个固定字符串…… 简单加盐的话被脱裤还是比较容易破解 |
 | 26 sarices 2014-05-15 10:49:28 +08:00 不可能保证100%安全的,我现在都是密码前几位,然后加盐组合,来生成hash |
 | 29 usedname 2014-05-15 12:06:04 +08:00 国内一般论坛的密码都是12456,谁爱要送给你好了,不用谢 |
| 31 wy315700 2014-05-15 12:25:04 +08:00 |
| 32 yibin001 OP @wy315700 现很多网站都是浏览器端把密码md5以后丢到服务器端的,中间被劫持到后就相当于裸了,数据库里加盐也没用。 |
 | 33 ShunYea 2014-05-15 13:05:50 +08:00 via Android 每个站点随机强密码没法记忆啊,软件记忆又太不方便。 |
 | 35 wheatcuican 2014-05-15 14:55:31 +08:00 其实,对于小米800W用户泄露不奇怪。 思路是这样的:小米2012年8月前论坛数据库和小米的某站点放在一个服务器上,一不小心,拿下了这个某站点,更无语的是服务器某处存放了root密码,连上数据库发现有老论坛数据库,查询论坛里的管理,然后破解登陆现在的论坛,然后Discuz如何后台拿shell就不说了 。winds http://t.qq.com/p/t/404340088534846 |
 | 36 LazyZhu 2014-05-15 14:58:33 +08:00 KeePass + TrueCrypt 1.帐号同一15位随机密码 2.服务器使用密匙对,关闭密码 |
 | 38 Azone 2014-05-15 15:37:44 +08:00 之前用过Symfony框架,里面有个用户管理的模块,密码好像是sha1(md5(email + password) + salt),salt是当前时间戳+4位随机数字,这样不知道是不是安全 |
 | 39 thisisvoa 2014-05-15 17:14:24 +08:00 楼上1password是不是在炫富,丝用lastpass |
 | 40 kooyou 2014-05-15 20:26:06 +08:00 我也是1passe 另外还有用密码管家。。。因为密码管家满了,又不想充钱。。丝啊 |
 | 42 wwek 2014-05-16 09:17:41 +08:00 Lastpass + KeePass + TrueCrypt 路过。如果 Lastpass 躺了,我就只用 KeePass + TrueCrypt了 |
Select Language