https://udn.com/news/story/7086/3681367
網路服務要求設定密碼時必須要英文及數字混雜、輸入至少8個字元等許多規定。許多使用者在設定密碼時,時常會利用數字與英文的相似度結合做些變化,例如:Mypa22word、Ire2pect、Mypa52ion…等等。
所以當一開始看到這組「ji32k7au4a83」12位數的複雜密碼,很難抓取到它的邏輯,因此會定位成它是沒有邏輯的密碼,應該是極為安全的吧?錯了,根據數據洩露存儲庫 Have I Been Pwned(HIBP)的報告指出這組密碼顯示的頻率比想像中還要高非常多。
一位硬體/軟體工程師Robert Ou 在Twitter上發了一篇推文詢問他的追蹤者們,他們是否能夠解釋為什麼這個看似隨機的數字密碼串在HIBP HIBP的數據庫出現了百多次。
...
...中間略
也許有許多使用者在一開始看到這串密碼就了解它會這麼常出現的原因。原來「ji32k7au4a83」對照我們台灣人的注音鍵盤就是「我的密碼」。在某種程度上,這是蠻尷尬的一件事情。使用者構思了一個認為只有自己才了解的思維卻跟另外140位使用者使用相同的密碼。
==================================================
小弟不才 弱弱的問....
不知道該網站是如何有 明碼 的密碼...
一般密碼儲存於系統內都是 加密過的密碼...
所以系統管理者 只能做 密碼變更...
不能告知使用者 你的原設定密碼..
================================================
2019.03.22
臉書密碼可被內部員工讀取 數億用戶受影響
https://udn.com/news/story/7088/3712691
Facebook(臉書)今天表示,今年1月發現部分用戶密碼以可讀格式儲存在臉書內部的數據儲存系統,影響臉書、Instagram共數億用戶,臉書已修復此問題並通知受影響用戶修改密碼。
臉書今天在官網說明1月的例行性安全檢查結果,並強調上述受影響用戶的密碼從未被臉書以外的人員看見,也沒有證據顯示臉書內部有任何人濫用或不當存取這些密碼。
臉書推估,受影響的用戶包括數億的FacebookLite用戶、數千萬的Facebook用戶,以及數萬的Instagram用戶,將通知這些用戶應該修改密碼。Facebook Lite是Facebook版本之一,主要用於網路連線較差的地區。
臉書也建議用戶採取一些措施來保護帳戶安全,例如別在不同的服務使用同一組密碼、選擇強度高且複雜的密碼組合,或是設定可從第三方應用程式取得驗證碼的雙重驗證功能。
=================================================
呵呵 我真的信了,,連 FB 這麼有名的公司..居然用戶密碼是以明碼方式儲存..
Wesley Hsu wrote:
但絕對不是所有網站密碼都有經過加密
ryuse wrote:
一般密碼儲存於系統內都是 加密過的密碼...
如果您認為網站的密碼都是加密過的,那您可能要失望了。
國內某些平台的密碼還是明碼,越大、越老的公司,越有可能,因為系統年久失修,也不敢亂動。
想要測試,很簡單!去按下忘記密碼,看他寄給您的是一組密碼?還是一個重設密碼的連結?
不過這招慢慢行不通了,因為這幾年消費者越來越聰明,這些平台也被要求要通過資安認證,所以他們不再寄送密碼,改為寄送重設密碼連結,以騙過資安顧問,取得簽證。但是系統的密碼還是明碼儲存。
不能說太多了
alwayslee wrote:
有加密就有解密
一般密碼儲存是不可逆的,例如:
輸入的密碼為:P@ssW0rd
資料庫儲存的是雜湊演算的結果:DF3D0343515FE2D71F7586D2160FDE7D
使用者登入時,是將使用者輸入的密碼,轉換成雜湊值之後去比對,而不是將儲存的雜湊值反解。
所以,密碼忘了,只能除設密碼,無法反解回來。
其實,如果是15年內的網站,除非是找工讀生當作業寫的,一般都會使用這種方式儲存。
本生物已配置全天候戰鬥系統~
手機不通、Skype 離線時,請託夢,或留言!
內文搜尋
從 APP 打開
X