论坛密码增加提醒：大写、小写、数字三者缺一不可

armok. · 发表于 2020-7-16 18:09:49

发现很多坛友经常说密码输入总不正确。后来我们才发现，基本上都是忘记了大小写。

我特意上技术人员，在论坛的密码输入增加文字提示：密码必须：由大写、小写、数字组成，三者缺一不可！

电脑版的登录有两个地方：

手机版也加上：

dreampet · 发表于 2020-7-16 18:14:44

能知道是大小写出错，难道论坛密码是明文保存？？？

Himem · 发表于 2020-7-16 18:16:18

本帖最后由 Himem 于 2020-7-16 18:19 编辑

dreampet 发表于 2020-7-16 18:14
能知道是大小写出错，难道论坛密码是明文保存？？？

登录时发送的表单是明文，discuz数据库里一般是加盐的md5，验证失败时记录日志
看日志里每个人重试密码的方式时应该很明显察觉大小写问题

dreampet · 发表于 2020-7-16 18:21:03

Himem 发表于 2020-7-16 18:16
验证时发送的表单是明文，discuz数据库里一般是加盐的md5，错误时记录日志 ...

Discuz默认是二次MD5校验，登录时，发送明文密码的MD5，除非人为修改，否则不会发送明文

Himem · 发表于 2020-7-16 18:24:25

本帖最后由 Himem 于 2020-7-16 18:30 编辑

dreampet 发表于 2020-7-16 18:21
Discuz默认是二次MD5校验，登录时，发送明文密码的MD5，除非人为修改，否则不会发送明文 ...

这是后台里可选的功能，开了之后就没弱密码登录锁定了，
目前已全站ssl，前端的这个md5保护可有可无

再说退出重新登录，控制台看看登录时post的是什么不很明显嘛

armok. · 发表于 2020-7-16 18:37:38

dreampet 发表于 2020-7-16 18:14
能知道是大小写出错，难道论坛密码是明文保存？？？

是用户发誓说没有记错密码，而我们查看用户状态，却发现是正常的。

只能要求用户提供密码给度都是小写我们测试。一看密码都是小写的我们就笑了：用户肯定记错了。

这种故事发生了很多次，就可以知道这绝不是个别事件。

armok. · 发表于 2020-7-16 19:00:45

Himem 发表于 2020-7-16 18:24
这是后台里可选的功能，开了之后就没弱密码登录锁定了，
目前已全站ssl，前端的这个md5保护可有可无

看来你很熟悉discuz。

后台有一个“密码加密传输开关”，打开了传输过程加密，我们论坛服务器也无法判断客户输入的是否弱密码。作用是防止数据被拦截。

但我们论坛目前已经启用较高等级的https，理论上无法被拦截。所以这个开关是否打开对安全性没有影响。

为了监测用户是否使用了不符合规范的弱密码，我们可以关闭上面的“密码加密传输”功能。

这样就可以及时纠正客户输入的密码不符合要求的问题。

icoyool · 发表于 2020-8-6 08:06:59

按照概率论只要密码足够长, 纯数字的密码强度应该也可以的
大小写数字的9位密码, 和纯数字的16位密码强度相当,
13,537,086,546,263,552
10,000,000,000,000,000

leebilly007 · 发表于 2020-8-6 10:10:54

dreampet 发表于 2020-7-16 18:14
能知道是大小写出错，难道论坛密码是明文保存？？？

论坛所有人的密码都必须至少包含大小写。

dukelec · 发表于 2020-8-6 10:34:29

最安全的方式是無需密碼，用戶登錄時，發一個驗證連接到用戶郵箱，打開連接後，保存一個 session id 到瀏覽器，然後就可以正常瀏覽。用戶登錄時可以選擇 session ID 保存多久。

论坛密码增加提醒：大写、小写、数字三者缺一不可

阿莫论坛20周年了！感谢大家的支持与爱护！！