This topic created in 4110 days ago, the information mentioned may be changed or developed.
以前我就这么干,但是我并没有“保存”只是发送。
不如来段代码来的实际
$password = generatePassword(10);
// password: 1234567890
sendmail('[email protected]',"your password is {$password}");
$db->execute("update users set password = ? where uid = x", sha1($password));
有些时候是不是有些反应过激了……
Supplement 1 · Jan 29, 2015
之二:https://www.v2ex.com/t/166617
12 replies • 2015-01-26 08:27:56 +08:00
 |
1
publicID123 Jan 26, 2015
数据还是过境公网了。而且“献”给了对方邮局运营商。
|
|
2
publicID123 Jan 26, 2015
反正,我会获取用户明文密码。
2048位RSA加密一下,存进数据库。程序中只有公钥。私钥存U盘里自己收好。 这样,只有我一个人能拥有这份数据。即使被黑客拖库。 |
 |
3
dndx Jan 26, 2015
你能保证邮件在传输过程中没有被人截获?
|
 |
4
NeoAtlantis Jan 26, 2015
不要用md5,不要用sha1,对也不要用sha512,不要用任何单一的散列,不要用加盐,不要用两个复合的散列,不要用三个复合的散列……
要用pbkdf2或者bcrypt或者scrypt来拖延时间…… |
 |
5
imn1 Jan 26, 2015
结合最近银行内鬼事件……
明文传送也只是一次拦截可以获取机会,但明文保存就有无数次可以获取的机会 看到邮件发回我的密码的网站,一律降级对待该站点—— 换邮箱、换密码,甚至舍弃原来帐号另注册一个 帐号、邮箱、密码一律都换成被偷也没所谓那种,至少不能从该密码推测其他站点的密码 |
 |
6
ericls Jan 26, 2015
如果不用明文,相关部门要你提供用户密码的时候 咋办呢?
|
|
7
NeoAtlantis Jan 26, 2015 via Android
@ericls 直接从你要服务器的权限就好啊,都有关部门了还这么麻烦…
|
 |
9
lzxgh621 Jan 26, 2015
@NeoAtlantis 性能。。。
|
|
10
NeoAtlantis Jan 26, 2015
@lzxgh621 如果用单一散列很快,那么生成彩虹表就更快了。这就是拖延时间的意义。
|
|
11
NeoAtlantis Jan 26, 2015
@lzxgh621 有关部门不应该是都不用张嘴直接去服务器登进去调查么……
|
 |
12
babyname Jan 26, 2015 via iPhone
这么说吧 明文是某部门要求的 网站也不想明文
|
Select Language