网易5E账号泄露，那么嘉力创是否明文保存密码

Earthman

有这个担心是因为当初注册力创商城的时候，竟然把密码发我邮箱了

如果是明文保存，还请尽快改掉，必须要hash而且salt

看当初CSDN的笑话，现在可笑不起来

labtech

哈哈，估计。。。

Earthman

据说现在20位以内的混合数字字母符号的密码，彩虹表爆破率超过95%

labtech

当时，商城的密码也是明文告诉我的。而且和pcb的一样的。

pcx5114

最近很多网站都被爆啊，下一个是谁啊？

gzhuli

Earthman 发表于 2015-10-19 22:19
据说现在20位以内的混合数字字母符号的密码，彩虹表爆破率超过95%

20位大小写字母数字有62 ^ 20 = 7E35个组合，超过全球储存总和很多个数量级，根本不可能存在能爆破20位密码的彩虹表。

TonyFang

这次真是泄露了一个好字典………

gao_hailong

gzhuli 发表于 2015-10-19 22:59
20位大小写字母数字有62 ^ 20 = 7E35个组合，超过全球储存总和很多个数量级，根本不可能存在能爆破20位密 ...

密码里面有很多重复的，常用密码加起来估计也没有多少吧。

Earthman

gzhuli 发表于 2015-10-19 22:59
20位大小写字母数字有62 ^ 20 = 7E35个组合，超过全球储存总和很多个数量级，根本不可能存在能爆破20位密 ...

彩虹表是常用密码的hash存储表啦，某著名查询网站几年前用来存储的硬盘就装满一个房间，现在大了好多好多倍啦

可以肯定的是10位以内的几乎都能破

larry.xu

同是嘉立创PCB和立创商城的客户，围观一下看看密码安全问题有何好的对策!

gzhuli

Earthman 发表于 2015-10-19 23:48
彩虹表是常用密码的hash存储表啦，某著名查询网站几年前用来存储的硬盘就装满一个房间，现在大了好多好多 ...

你那叫字典，只能对付已暴露的弱密码，复杂点就没辙。
彩虹表没那么简单，原理上相当于压缩了的暴力破解表，查找也需要算法配合（可理解为解压缩），不是随便下载个表就能直接查的，可破解的密码空间也比字典法大得多，但对付20位大小写数字混合密码也是力不从心。

我随便给一个8位大小写数字混合密码（而且还是有意义的单词组合，非随机）的MD5值，你可以试试那些著名查询网站能不能解得出来：b99a0ff3ca10c804ddb9876cf42d478c

adda

安全问题很严峻，应该找一个安全的密码策略

嘉立创-高先生

我们的密码是加密的，从我们设计系统的第1天起就是这么玩的。
至于再怎么加强，我们的IT团队会进一步考虑

McuPlayer

最基本的问题，密码一定不能用明文保存

Moriarty_li

不好爆破吧，记得曾经的数据结构老师讲过一点，数据的存储结构不相同的，爆破起来没那么容易，要爆破首先要知道数据的存储结构

祥子

问个比较傻的问题，

密码如果明文保存的话，在存储的时把每个字符都做 +1 处理再存， 是不是密码泄露时风险就降低了？

uid81

祥子 发表于 2015-10-20 11:05
问个比较傻的问题，

密码如果明文保存的话，在存储的时把每个字符都做 +1 处理再存， 是不是密码泄露时风 ...

是的，但是这个的反向算法也很简单，很容易还原。所以最好使用单向算法，没有反向算法的，只能通过暴力破解。

zhengxg1990

gzhuli 发表于 2015-10-20 00:32
你那叫字典，只能对付已暴露的弱密码，复杂点就没辙。
彩虹表没那么简单，原理上相当于压缩了的暴力破解 ...

这是一条付费记录,密文类型:md5
不过网上算了好久

gzhuli

armok 发表于 2015-10-20 13:38
我也相信你们的密码是加密的。

不过，如果我没有猜错的话，加密的方法是你们闭门造车搞出来的，甚至是可 ...

Hash + Salt就是业界最成熟的做法，虽然MD5已经略显过时，但实际上除非是国家级的超算或者利用类似BOINC等大规模分布式客户端来跑，普通黑客还是没能力对付的，SHA-1以上的hash算法就更安全了。

gzhuli

zhengxg1990 发表于 2015-10-20 13:29
这是一条付费记录,密文类型:md5
不过网上算了好久

呵呵，所以说表里没有，现算的呗，对于8位密码来讲暴力破解时间是差不多，再长的话计算时间就级数上升了。

lllaaa

pbkdf2，scrpyt，argon2

nowow

dz论坛一般MD5+SALT