居然 Google 也有"Enter the last password you remember"，难道它也保存着密码明文？ - V2EX

Home Sign Up Sign In

This topic created in 4062 days ago, the information mentioned may be changed or developed.

不久前吃惊地发现在Google重置密码时也有这一步（可跳过）。

因为Hash差一个字符都面目全非，再加上我觉得谷歌对于40位以上的长密码应该不会浪费资源反向解密，所以我好奇谷歌是不是保存着原明文密码。

（但是对于同样要提供尽可能记得的原密码的腾讯、新浪等中国公司，不是怀疑而是相信肯定存有明文啦。）

15 replies • 2015-05-10 23:09:46 +08:00

1

sumhat

May 10, 2015

会保存以前用过的密码，商业版用户重置密码不得与之前用过的 100 个重复。

当然……保存 Hash 这种技术，在 MD5 时代就解决了 -_-

2

wy315700

May 10, 2015

1

为啥你会相信明文，我保存密码的密文不也一样吗。

3

casparchen

May 10, 2015 via iPad

为什么不可以存hash？然后比较last password的hash？

4

imn1

May 10, 2015

不明白为何想到明文密码这点上去？

5

imlonghao

May 10, 2015 via Android

不明白为什么会想到存明文密码

难道我就不可以存下你每一次密码的密文吗？

6

sengxian

May 10, 2015

1

楼主的意思是说：以前的密码不一定可以完全写对，但只要八九不离十就能通过；但对于两个相似度极高的密码，hash值却大不同，所以要实现这个功能，想到了明文密码吧。

7

243205964

May 10, 2015

@sengxian 我觉得应该必须完全写对，不然我猜某个人的习惯改某人的密码不是很随意吗？

8

sengxian

May 10, 2015

@243205964 申诉不是只这一项就可以找回的，记得我以前申诉我的QQ填了好多信息才过

9

wy315700

May 10, 2015

2

@243205964
@sengxian

simhash

https://liangsun.org/posts/a-python-implementation-of-simhash-algorithm/

类似的明文会输出类似的hash值

10

cszhiyue

May 10, 2015

@wy315700 应该不能是simhash，如果是simhash那不是有助于破解密码？

11

msg7086

May 10, 2015

而且这不难理解吧。
如果你改过一次密码，但是输入的是修改之前的密码，Google一样会提醒说，你是不是输入了旧密码？

12

Felldeadbird

May 10, 2015 via iPhone

有一种可能，如果输入错误大于指定位数，应该验证你失败。就像我旧密码为123456
我输入了12345 谷歌在自动补全几个位数的哈希值进行旧记录匹配。
这样就不用明文保存，也可以验证完整性。

13

caomu

May 10, 2015 via Android

@Felldeadbird google哪知道你hash前密码的位数。。。

14

binux

May 10, 2015 via Android

@wy315700 simhash 对于短文本毫无用处

15

ryd994

May 10, 2015 via Android

@Felldeadbird 不错的想法，分片hash，然而密码一共也没多长……
@caomu 为什么不知道？密码明文发送啊，加密交给https

About · Help · Advertise · Blog · API · FAQ · Solana · 1087 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 56ms · UTC 18:17 · PVG 02:17 · LAX 11:17 · JFK 14:17
♥ Do have faith in what you're doing.