为什么检测到我的帐号密码强度低？

atmouse

这算什么， 难道这个论坛知道我们所有人密码么。

我自认为不会使用123456，不认为我的密码在常用密码范围内，
请论坛考虑用户的密码由客户端页面hash，数据库只保存hash后的值。

作为一个安全论坛，连这点都不做

佐仓濑津美

数据库里面本来就是保存的密文 不过据我所知DZ的加密是用的加工过的MD5 所以理论上来说论坛系统是知道你的密码明文的

另外 形如cxg479一类的密码也算是弱密码 并且常常会在密码字典中出现 请改用8位以上随机密码 并包括大小写字母 数字 特殊字符

atmouse

不过据我所知DZ的加密是用的加工过的MD5 所以理论上来说论坛系统是知道你的密码明文的

=>如何解释
只发散列你们根本不可能知道我密码，我只想密码明文只在我浏览器内存里面出现过

恋爱的夏娜

既然MD5这种本来不可逆的算法，被加工过了，那么就不排除存在修改后算法可逆的可能性，而且MD5这个算法本身已经被用的太过于普遍，如果你的密码曾经被那些MD5查询网站收录过，那么你的密码就不安全。

---

夏娜，疾风，菲特，奈叶

atmouse

佐仓濑津美 发表于 2013-5-11 18:25
数据库里面本来就是保存的密文 不过据我所知DZ的加密是用的加工过的MD5 所以理论上来说论坛系统是知道你的密 ...

到了你这里怎么就变味了，
不论md5是否加工过，请不要记录明文。
况且加工过的md5照样是散列，不可逆，任何散列都是不可逆的

atmouse

恋爱的夏娜 发表于 2013-5-11 18:54
既然MD5这种本来不可逆的算法，被加工过了，那么就不排除存在修改后算法可逆的可能性，而且MD5这个算法本身 ...

我现在只想知道，你们是否那我的明文密码做测试，
还是说只是找一些弱口令hash表测试
如果是后者，可以理解，不过我说了， 我的密码不算弱，没有在第二个地方用过，网上何来我的hash

请考虑不要记录用户的口令

佐仓濑津美

atmouse 发表于 2013-5-11 19:01
我现在只想知道，你们是否那我的明文密码做测试，
还是说只是找一些弱口令hash表测试
如果是后者，可以 ...

老大买的是插件 所以是弱密码字典

MD5可以用枚举法拆到明文 你的密码在字典里 所以被提示了 凡是不在字典里的都不会被提示

这次的弱密码字典是比较常用的 理论上来说暴力破解可以破解任何人的密码 只是时间问题而已 所以你也就不必觉得自己的密码“强”了 你的密码连被暴力枚举的资格都没有 直接在字典里 SO 改了吧

是否记录用户口令也不是我们论坛说了算的 我们用的是几乎完全不修改的 完整的Discuz论坛系统 这方面你应该去问腾讯 现在Discuz是腾讯的产品了

atmouse

好吧。。。。。。

有这心思还是放到注册的时候检测，别吓用户

佐仓濑津美

atmouse 发表于 2013-5-11 19:11
要防止用户用弱口令最好放在注册的时候，跟修改密码的时候检测，而且是在本地端的

你们这样让别人马上就 ...

欢迎你去责问Discuz论坛系统的制作人员 问问他们密码是不是明文储存在数据库里的

如果自学习的技术只是比普通的完全不懂的人要好一点 就不要来这里争了 去看看Discuz的技术文档和后台PHP程序 比在这里和我争要好的多了

星河梦

atmouse 发表于 2013-5-11 19:11
要防止用户用弱口令最好放在注册的时候，跟修改密码的时候检测，而且是在本地端的

你们这样让别人马上就 ...

网站记录的是Hash。
弱密码检测的机理是：
首先获取一份字典，它记录了很多人们常用的密码，然后计算出密码的Hash，将你的密码与字典密码的Hash比对，如果有相符的，那么认为该密码为弱密码。Discuz!是不记录用户的明文密码的，只记录Hash。

还有，并不是说你的密码你没在别的地方使用过它就是强密码了，因为密码的强弱与你的个人意志无关，它是一个统计相关量，而且，随着计算机计算速度的提高，弱密码的范围将逐渐扩大。