V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
yjxjn
V2EX  ›  全球工单系统

新浪微博最愚蠢的设计

  •  
  •   yjxjn · 2017-08-30 14:00:12 +08:00 · 9395 次点击
    这是一个创建于 2402 天前的主题,其中的信息可能已经有所发展或是发生改变。

    为毛要保存我们的所有的历史密码?
    请新浪给个解释,如果记录 5 个左右的历史密码,我认为是典型保护帐号措施。
    关键新浪微博把我所有使用过的密码全部记录了!
    如此循环往复,新浪微博已经套出了我的所有密码!不知道他哪天把密码泄露怎么办?设计这种 feature 的不知道安的什么心?
    再就是我每次想新密码很麻烦啊!!!

    新浪微博吃枣药丸。

    92 条回复    2017-09-01 20:23:39 +08:00
    murmur
        1
    murmur  
       2017-08-30 14:09:56 +08:00
    所以说对于每个网站都有不同的密码啊,不怕被惦着也不吧撞库

    新浪微博脑残的设计一大把偏偏这个很正常
    hkcdntop
        2
    hkcdntop  
       2017-08-30 14:42:41 +08:00
    不一直都是脑残设计吗
    byuc
        3
    byuc  
       2017-08-30 14:44:03 +08:00
    QQ 申诉表里,有一栏叫“曾使用过的密码”。
    CEBBCAT
        4
    CEBBCAT  
       2017-08-30 14:51:21 +08:00 via Android
    QQ 也是啊,outlook 也是啊,我觉得 outlook 甚至可称为傻逼,居然不能用以前的密码!
    Lpl
        5
    Lpl  
       2017-08-30 14:54:45 +08:00 via iPhone
    蛤蛤蛤,-1s
    knightdf
        6
    knightdf  
       2017-08-30 15:13:02 +08:00   ❤️ 1
    很多都是这样的设计。。不让你用以前的密码
    不过关于微博就没什么好吐槽的了,稀烂的东西配不上它的市值
    assad
        7
    assad  
       2017-08-30 15:15:23 +08:00   ❤️ 1
    @CEBBCAT appleid 也不让用以前的密码
    zzczzc
        8
    zzczzc  
       2017-08-30 15:16:19 +08:00
    微博早已清空不用了
    TimePPT
        9
    TimePPT  
       2017-08-30 15:31:12 +08:00 via iPhone
    确定是记录了密码,还是说记录了密码的哈希值?这俩有区别
    thecon
        10
    thecon  
       2017-08-30 15:32:41 +08:00
    而且是明文保存, 而且已经泄漏过了, 楼主不知道吗?
    qianguozheng
        11
    qianguozheng  
       2017-08-30 15:45:39 +08:00
    还有这个设计。。。。真他妈的坑爹阿
    codingadog
        12
    codingadog  
       2017-08-30 15:51:03 +08:00
    渣浪微博手机号丢了=账号丢了也是最愚蠢的设计之一
    biaoji
        13
    biaoji  
       2017-08-30 15:59:48 +08:00 via iPhone
    在新浪微博上保存需要密码的内容本身就让人感觉很愚蠢啊。上面有什么东西是需要频繁更新密码的呢?
    lmusicwq
        14
    lmusicwq  
       2017-08-30 16:25:07 +08:00
    还是建议你用密码管理软件吧。。lastpass 1password
    随机密码既安全又方便
    yjxjn
        15
    yjxjn  
    OP
       2017-08-30 16:32:49 +08:00   ❤️ 1
    @CEBBCAT 你错了,outlook 是 10 次密码,所以我设置到第 11 次的时候,第 1 次的密码又可以用了。
    yjxjn
        16
    yjxjn  
    OP
       2017-08-30 16:35:22 +08:00
    @assad 起码苹果不傻逼啊。人家异地登陆啥的,很准啊。。。。不像新浪,估计技术渣吧。。。换个手机,或者稍微有一丁点的安全怀疑,就让你改密码。。。服了都,现在想密码规则太难了。。。rule 全让套走了。。。
    IntelDan
        17
    IntelDan  
       2017-08-30 16:38:09 +08:00 via Android
    @murmur 一大把…就这个正常…尼玛,笑出声了有木有,感同身受!
    kulove
        18
    kulove  
       2017-08-30 16:39:02 +08:00
    记录的不是明文吧...
    zlfzy
        19
    zlfzy  
       2017-08-30 16:39:31 +08:00
    这里有微博的人吗,我一个账号 3 月到现在至今无法登陆,申诉也没有回复,help.weibo.com 的人工客服按钮是无响应的,新浪真是太黑了。
    wizardry
        20
    wizardry  
       2017-08-30 16:40:29 +08:00
    我都是用 chrome 生成的密码,会自动记录同步.实在需要密码就去 google 账户查.
    LokiSharp
        21
    LokiSharp  
       2017-08-30 16:41:52 +08:00
    Google 也会保存你原来用过的密码啊= =
    yjxjn
        22
    yjxjn  
    OP
       2017-08-30 16:42:25 +08:00
    @TimePPT 我没记错以前被脱裤,还有一个问题在于,我十分怀疑很多不用的微博账户乱发广告根本不是被盗,而是新浪自己给点赞,转发啥的。。
    yjxjn
        23
    yjxjn  
    OP
       2017-08-30 16:43:12 +08:00
    @zlfzy 你开个会员。立马就会找你。。。
    wizardry
        24
    wizardry  
       2017-08-30 16:46:16 +08:00
    @CEBBCAT 好像大部分服务重设密码都不能用之前用过的吧.除非你重置了很多很多次.
    jliangchan
        25
    jliangchan  
       2017-08-30 16:46:27 +08:00
    @yjxjn 根本不是盗号, 就是新浪官方用这些僵尸号乱发的, 我的微博还总是自动关注一些垃圾人, 新浪真是无底线的公司, 跟百度不分上下.
    sky0009
        26
    sky0009  
       2017-08-30 16:50:11 +08:00 via Android
    @yjxjn
    人家账号都登不进去,怎么开会员?😂你以为空中充值啊😳。

    @zlfzy
    你可以拨打新浪个人用户的客服 4000960960,看看他们的说词。
    superkeke
        27
    superkeke  
       2017-08-30 16:52:18 +08:00
    苹果也是这样,不能用以前用过的密码
    zlfzy
        28
    zlfzy  
       2017-08-30 17:04:34 +08:00
    @sky0009 感谢,我抽个时间试一下。
    JJaicmkmy
        29
    JJaicmkmy  
       2017-08-30 17:16:17 +08:00
    為了註銷我的微博,我瘋狂 spam 了好多天,新浪終於把我屏蔽了。
    wellsc
        30
    wellsc  
       2017-08-30 17:24:30 +08:00
    facebook 也会记录历史密码
    xiaozecn
        31
    xiaozecn  
       2017-08-30 17:38:28 +08:00
    以前有一个设计就是绑定的手机不能更改,一旦注销手机,别人就能随便获得你账号的使用权。
    superkeke
        32
    superkeke  
       2017-08-30 17:49:42 +08:00
    新浪微博的登陆验证码真是不能忍,头几次不管怎么输都是错,已经直接弃用新浪微博了
    TimePPT
        33
    TimePPT  
       2017-08-30 17:58:59 +08:00
    @yjxjn 微博的服务吧,槽点太多……
    TigerK
        34
    TigerK  
       2017-08-30 19:18:36 +08:00
    keepass 生成随机密码~(但是这样在手机上面就超级不方便输入了,除非在手机上也安装 keepass 的软件)
    xzem
        35
    xzem  
       2017-08-30 19:23:32 +08:00 via Android
    @TigerK 安卓上的 kepass2android 很好用
    exiahan
        36
    exiahan  
       2017-08-30 19:28:23 +08:00 via Android   ❤️ 1
    @CEBBCAT 现在 QQ 也不让用老密码了,我之前刚好莫名其妙被锁号,然后改密码本来是想随便改一个然后再改回原密码,结果不让了(T_T)
    ZenFX
        37
    ZenFX  
       2017-08-30 19:32:33 +08:00
    用 Lastpass 生成随机密码
    5CanTell
        38
    5CanTell  
       2017-08-30 19:39:46 +08:00
    哈哈哈,密码从来都是同一个的人的克星
    fulvaz
        39
    fulvaz  
       2017-08-30 19:47:14 +08:00
    ...用 salt 和 hash 算法给你算一下比较下数据库的结果就能知道你是不是用过啊....

    怎么需要保存你的明文??????
    claysec
        40
    claysec  
       2017-08-30 19:47:49 +08:00
    新浪的密码存储规则也是个傻逼的。。貌似你的密码随机到了 16 位之后,过段时间,不管你再怎么输入正确的密码,都是登录不上微博的。。。
    pandasoda
        41
    pandasoda  
       2017-08-30 19:51:02 +08:00
    估计你还没试过 weibo 的更换手机号码 官方几乎没有通道,只能通过客服找攻城狮手动改
    stanjia
        42
    stanjia  
       2017-08-30 19:54:57 +08:00
    可怜 的孩子 你需要
    ```
    pwgen 50 -y
    ```

    PS1:浪博密码最多 20 位(印象中 50 位太长)

    PS2: 提醒楼主, 有些网站,记录密码很多都是明文的,程序员在数据库中会看到。
    加密存储嘻哈码的行文要看网站的良心了。
    tyrealgray
        43
    tyrealgray  
       2017-08-30 19:55:33 +08:00 via iPhone
    把以前的 token 拿开比对也是可能的吧,如果存的是明文密码那就真的只能远离了。
    scriptB0y
        44
    scriptB0y  
       2017-08-30 20:00:40 +08:00
    我觉得保存 hash 是没问题的,所有的都保存都可以。


    但是! 我相信新浪这种无良+脑残的公司是一定会把用户的密码明文保存下来的!
    FanWall
        45
    FanWall  
       2017-08-30 20:04:21 +08:00 via Android
    这种用户量存的应该都是 hash 吧。
    这么做感觉能降低撞库风险,不过对于普通用户来讲体验确实差。。
    dearsting
        46
    dearsting  
       2017-08-30 20:21:49 +08:00
    你就说新浪微博哪里不愚蠢吧
    nszm
        47
    nszm  
       2017-08-30 20:49:53 +08:00
    还有登陆微博经常进到一次登陆微博的页面强制关注一堆人
    bukip
        48
    bukip  
       2017-08-30 20:53:38 +08:00
    还用新浪微博本来就是一种很愚蠢的行为
    lydasia
        49
    lydasia  
       2017-08-30 20:57:01 +08:00
    莫名多一堆垃圾粉丝,早就不玩了。国内这些,存的是 hash 还是明文,去社工库里找找自己的密码吧。
    cheese
        50
    cheese  
       2017-08-30 21:03:14 +08:00   ❤️ 1
    @exiahan QQ 是保存三个。超过之后就可以用之前的。已经验证
    fulvaz
        51
    fulvaz  
       2017-08-30 21:11:34 +08:00
    @stanjia

    真是良心吗? 我觉得明文才是和自己过不去啊
    stanjia
        52
    stanjia  
       2017-08-30 21:14:06 +08:00
    @fulvaz 见过很多,都是明文。so......
    zhx1991
        53
    zhx1991  
       2017-08-30 21:39:33 +08:00
    新浪这么大的网站...


    不应该会明文保存吧
    exiahan
        54
    exiahan  
       2017-08-30 22:51:28 +08:00 via Android
    @cheese 多谢~一会试试去~
    Pastsong
        55
    Pastsong  
       2017-08-30 22:56:00 +08:00
    记哈希没问题啊,这种网站行为很常见,多年以前这是作为提升安全性的特性推荐的,后来大家都觉得太烦了。。
    Tardis0127
        56
    Tardis0127  
       2017-08-30 22:59:41 +08:00
    新浪微博没有最蠢只有更蠢...
    fulvaz
        57
    fulvaz  
       2017-08-30 23:48:11 +08:00
    @stanjia 🤦‍♀️ GTMDXLWB
    CRight
        58
    CRight  
       2017-08-31 00:11:15 +08:00
    @wellsc 是的,我输入旧密码登录,它还会提醒我改过密码了。。
    yxjxx
        59
    yxjxx  
       2017-08-31 00:17:45 +08:00 via iPad
    you need 1Password !
    twomoe
        60
    twomoe  
       2017-08-31 00:34:55 +08:00
    最蠢的设计难道不是海外入口么……卧槽真是想骂人
    lfk0000
        61
    lfk0000  
       2017-08-31 03:51:59 +08:00
    google 也不让,然后我每次就在后面加个点。。。
    murmur
        62
    murmur  
       2017-08-31 07:49:22 +08:00
    @bukip 总比 qq 空间和微信朋友圈靠谱啊
    vonsis
        63
    vonsis  
       2017-08-31 08:47:24 +08:00
    Password Generator
    ourunnet
        64
    ourunnet  
       2017-08-31 08:50:25 +08:00
    新浪微博不支持注销,真的无语了
    unique
        65
    unique  
       2017-08-31 09:00:53 +08:00 via iPhone
    日常吐槽微博篇+1
    ren2881971
        66
    ren2881971  
       2017-08-31 09:01:23 +08:00
    新浪那个破几把分享故事 每次不小心左滑都会弄出来 !!!
    bngzoo
        67
    bngzoo  
       2017-08-31 09:22:23 +08:00
    Google 会告诉你你输入的密码是 1 年前的。
    Clarencep
        68
    Clarencep  
       2017-08-31 09:24:51 +08:00
    话说可以闲着没事儿多改改密码,就用 “ mypassword1 ” “ mypassword2 ” “ mypassword3 ” ... “ mypassword10000 ” 这种

    撑爆他们的服务器
    leloext
        69
    leloext  
       2017-08-31 09:27:18 +08:00
    最蠢的设计不是那个乱如狗的时间线吗?一个星期前的消息都会刷出来的。
    dif
        70
    dif  
       2017-08-31 09:46:36 +08:00
    愚蠢的设计有很多,随便举两个
    一个身份证只能实名一次开发者社区,不可修改。
    账号不能更换邮箱。
    对比 twitter,吃枣💊啊。
    yulgang
        71
    yulgang  
       2017-08-31 09:49:26 +08:00
    不登录我这里打不开微博,显示空白页,感觉也很傻逼。
    zengyuxi
        72
    zengyuxi  
       2017-08-31 09:58:32 +08:00
    我不信,微博保存的是明文密码!
    Felldeadbird
        73
    Felldeadbird  
       2017-08-31 10:02:12 +08:00
    你们去微博问一下 以前管 微博的大牛 不就可以啦? 在这里瞎猜没意义啊。
    ghostheaven
        74
    ghostheaven  
       2017-08-31 10:03:38 +08:00 via Android
    以前公司使用的 windows 域账号登陆,安全策略设置的就是,每三个月必须更换密码,不能跟过去的 8 次密码重复。我觉得这很安全。
    zts1993
        75
    zts1993  
       2017-08-31 10:06:04 +08:00
    facebook 也记录的好像,修改为之前的密码,会提示。。。
    而且,记录也不一定是明文啊。。有啥好喷的。。。
    Vinty
        76
    Vinty  
       2017-08-31 10:16:34 +08:00
    打过一次新浪微博客服申诉,问我密码的后四位是什么,所以明文保存也未必不可能
    ty89
        77
    ty89  
       2017-08-31 10:20:09 +08:00   ❤️ 2
    allenshi
        78
    allenshi  
       2017-08-31 10:51:17 +08:00
    最蛋疼的难道不是打乱的时间线吗??
    md,经常看着看着刷出昨天的微博!!
    尼玛!!
    opengps
        79
    opengps  
       2017-08-31 10:54:51 +08:00
    我擦,我总共才那么几个密码循环用。新浪全知道啊
    Geoion
        80
    Geoion  
       2017-08-31 11:03:36 +08:00
    facebook 和 Evernote 其实都是这样的

    看标题我以为吐槽新浪微博的垃圾 timeline
    ipconfiger
        81
    ipconfiger  
       2017-08-31 11:06:48 +08:00
    这种功能要么是保存了你的裸密码, 要么是保存了没加盐的裸 hash, 被脱裤后你就基本上是在裸奔了, 所以我一直用的是自动生成的密码
    chocotan
        82
    chocotan  
       2017-08-31 11:23:50 +08:00
    京东也是这样,我已经记不清我的密码是什么了,每次都找回密码
    wynemo
        83
    wynemo  
       2017-08-31 11:47:27 +08:00
    我给你说怎么生成密码 weibo+1s 下次就是 weibo+2s....
    webcoder
        84
    webcoder  
       2017-08-31 11:47:28 +08:00
    md5(time),让你的密码永远不会重复[手动滑稽]
    rswl
        85
    rswl  
       2017-08-31 12:06:27 +08:00
    @wynemo 暴力膜蛤并不可取
    stanjia
        86
    stanjia  
       2017-08-31 12:56:13 +08:00
    @wynemo 哈哈, 然后有一天,weibo 提示你, “由于新密码和您过去使用的密码太过于相似,请再编个新密码” 哈哈
    stanjia
        87
    stanjia  
       2017-08-31 12:58:20 +08:00
    @fulvaz 浪浪应该不会保存明文, 但做为一个程序员,应该时刻做好被保存明文的准备>_<
    Rube
        88
    Rube  
       2017-08-31 13:01:47 +08:00
    你承认 apple 也傻逼,我就承认 weibo 傻逼
    WindsonYan
        89
    WindsonYan  
       2017-08-31 13:40:42 +08:00
    我两年前就在微博的客服上投诉过了,然而并没有卵用。公司走的是日本 vpn,我住所用的是北京的网,手机用的是学校那个省份的号,一个礼拜就得换一次密码。。。MDZZ 还保留历史不让重复。。。
    yjxjn
        90
    yjxjn  
    OP
       2017-08-31 13:57:18 +08:00
    @ghostheaven 起码我可以 8 次以后就可以重复来一遍。。。我是记不住那么多密码,而且我不相信任何第三方密码管理软件。
    sxsexe
        91
    sxsexe  
       2017-08-31 14:20:33 +08:00
    新浪这种破公司根本不配那个市值
    tSQghkfhTtQt9mtd
        92
    tSQghkfhTtQt9mtd  
       2017-09-01 20:23:39 +08:00 via Android
    微博客服你打电话过去涉及账号操作的话,他们会让你报密码前五位验证身份。。(没错就是明文
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2723 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 15:38 · PVG 23:38 · LAX 08:38 · JFK 11:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.