根据decode360的解释，简单介绍下破解360密盘的原理（如果dec360没说谎的话）求证官人

chaezoy

lwzy2046 发表于 2010-12-30 10:40
回复 25楼 √×√×√√× 的帖子

总而言之，不管某些人的某些借口或者发挥

这个问题问的有道理，如果不在云端，且密码是以某种加密算法处理后以本地文件的形式储存在客户机上。
那如果用户误操作删除了这一文件，岂不是找不回来了？

lwzy2046

回复 31楼 chaezoy 的帖子

误删好办，就像自保那样，一般动作删不了就是了

chaezoy

回复 32楼 lwzy2046 的帖子

那比如这样，用户在更新时不选择覆盖安装，而是选择先卸载，再安装。
难道卸载的时候不应该把这个本地文件同时清除吗？
感觉这部分的逻辑比较复杂。

comicwm

回复 29楼 chaezoy 的帖子

应该是十六位，看他下面的解释说的。
这次这个的确是设计缺陷，可以扣工资了
此事可以高调处理，给发现者发证书，发奖金

√×√×√√×

lwzy2046 发表于 2010-12-30 10:40
回复 25楼 √×√×√√× 的帖子

总而言之，不管某些人的某些借口或者发挥

要克服的话，我比较想用二次加密的手段。360用一套统一的加密算法对用户加密的存储文件进行二次变形加密，同时云端记录二次加密匹配，用户并不知道2次加密的密码，服务端也不知道用户一次加密的密码，解密时云端对2次加密进行统一解密后，用户再进行自己的本地解密就可以了。也就是说云端无法匹配的话是没法再本地对2次加密进行解密的。

。。。。。最后一个问题很简单，公钥和私钥的问题。只有其中一半是没法解开的。所以普通情况下一方只掌握一半都是安全的。（密码学破解除外）

comicwm

回复 35楼 √×√×√√× 的帖子

那样就要联网使用啦，二次加密又花费时间
直接在本地使用复杂算法加密密钥也可以达到效果

lwzy2046

回复 35楼 √×√×√√× 的帖子

用户再进行自己的本地解密就可以了

嗯，后一个明白了
但前一个，我们来简单想，我作为用户，密码忘了，于是从360那获取我的密码，我获取的肯定就是一个直接的密码，这个本地解密又是什么？
身份验证么？可是身份验证不该已经通过360账户验证过了么？

qingyangxpc

360是不会承认他的东西有漏洞的

√×√×√√×

comicwm 发表于 2010-12-30 10:54
回复 35楼 √×√×√√× 的帖子

那样就要联网使用啦，二次加密又花费时间

复杂算法的问题就在于找回密码比较难，要想使用找回密码功能，必定要联网。。。。密保一类的也没见过有本地的吧？都是同样的原理，这类东西放在本地非常危险，同时本地做加密处理也很难。

kongnet

一直犹豫是否用密盘，现在看来还要等等看。