首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
Coding
V2EX  ›  全球工单系统

第一次见到 12306 这样的密码要求.

  •  
  •   skadi · 349 天前 · 6994 次点击
    这是一个创建于 349 天前的主题,其中的信息可能已经有所发展或是发生改变。

    密码只能为字母和数字或下划线中的两个的组合!

    真是惊呆了.

    58 回复  |  直到 2018-12-30 00:29:50 +08:00
        1
    sunwei0325   349 天前   ♥ 1
    说明密码就是明文存的
        2
    Osk   349 天前
    @sunwei0325 这看不出来吧...
        3
    bestie   349 天前
    试了一下,无法复现 ___AAA111
    楼主可以给一个复现的例子
        4
    alexmy   349 天前
    是很奇葩啊,刚改不久,随机了一堆字符串后,想手动加点符号,结果只能加几个下划线。
        5
    WangXg   349 天前
    是除了字母和数字,只能用下划线,而不能用其他符号的意思吧?
        6
    dong3580   349 天前 via Android
    所以不允许用 @#()/\+-这类符号是为了输入密码方便么?
        7
    opengps   349 天前 via Android   ♥ 3
    我猜是为了防止 sql 注入的做法,只允许下划线怎么拼凑都成不了 sql 语句
        8
    masker   349 天前 via Android
    @sunwei0325 求教这是怎么看出来的。
        9
    yzkcy   349 天前
    @sunwei0325 怎么说?
        10
    suith27   348 天前
    我今天也刚改了,就是有这种无理的要求!
    (使用 LastPass 自动生成的密码,提示见楼主图片
        11
    shanigan   348 天前 via iPad   ♥ 2
    @opengps 都 2018 年了,防 sql 注入还在靠限制密码强度来做,这是无能的表现。
        12
    KasuganoSoras   348 天前 via Android
    从来不在 12306 买票,我也没有坐火车的需求
    出门都是骑车,坐公交车或者地铁,比较远的就开车,再远一点的就坐飞机了
        13
    KINGSHINE   348 天前 via Android
    @sunwei0325 扯淡呢明文
        14
    KINGSHINE   348 天前 via Android
    @KasuganoSoras 为什么不坐火车
        15
    jamesxu   348 天前 via iPhone
    是不是拿\w 正则校验的?这个只允许大小写、数字和下划线
        16
    0312birdzhang   348 天前 via iPhone
        17
    0312birdzhang   348 天前 via iPhone
    @bestie 用手机 app 随时复现
        18
    7654   348 天前
    早在第一次 12306 被传拖库的时候我发现了这一奇葩规定
    但是我注册的时候并没有要求这些,所以我的密码中也特殊字符
        19
    citydog   348 天前
    @sunwei0325 脑路清奇,怎么个理由?说说!不能为了喷而喷昂
        20
    dtsover   348 天前
    用户密码和被拖库有撒关系?用户密码高复杂度不是为了防治撞库登陆?但一般不是有试错次数限制的吗?
        21
    dtsover   348 天前
    sql 注入倒是一个可能,但这么大的网站设计之初如果不防范这个很难理解啊。
        22
    liuzhedash   348 天前
    @KasuganoSoras #12
    惊了,从来没坐过?
        23
    openbsd   348 天前
    @Osk #2
    @KINGSHINE #13
    @citydog #19
    如果仅限这三种组合,有可能吧(毛骨悚然),密码输入框只接受 _ 字母 数字 ,可以用最粗暴的办法杜绝 SQL 注入?义啥的都得用到各种符号,一刀杜绝
        24
    openbsd   348 天前
    @dtsover #21 咱们的套路不就是,可以一刀切的,为啥要搞那么多花样,还得花钱
        25
    crab   348 天前
    昨天去注册提交时候提示没填写国家地区,但页面根本没这个选择的,审查元素发现是设置了 displaynone,去掉后选择才能正常注册,莫名其妙。
        26
    jasonsui   348 天前 via Android
    @sunwei0325 抓个包看看都知道不是明文存的吧
        27
    DnC   348 天前   ♥ 1
    你的至少还有提示,不知道你见过这样奇葩的没:
    (我一般密码中喜欢带一个特殊字符,这是前提)
    有的网站,在登录的 pwd 框中,不允许你输入特殊字符,是不允许。即,他把你输入的特殊字符直接 ignore,且不告诉你,不告诉你 (因为 pwd 狂都是*,你也很难觉察)。但是 mmp 的,在更改密码的时候,那个输入框却又允许你输入特殊字符!
    然后我某次改了密码之后,就他喵的死活登录不上去了!!!
        28
    neptuno   348 天前
    防止你们用密码生成器吗 2333
        29
    flycmd   348 天前
    @opengps 就算输入注入的代码也无所谓,反正最后要进行加密算法的,入库和对比都是加密后的数据....
        30
    hst001   348 天前
    简单想一想,会不会只是单纯地是产品经理这样要求而已
        31
    wwuha   348 天前
    什么时候的事,我昨晚手机端改密码没有这个提示
        32
    wwuha   348 天前
    @opengps 我第一反应也是防 sql 注入,不过想想应该不是这个原因,防 sql 有其他方法,不至于用限制密码这个手段
        33
    linpf   348 天前   ♥ 1
    @Osk
    @masker
    @yzkcy
    @KINGSHINE
    @citydog
    @jasonsui

    我猜一楼的想法就是:12306 为了防止 sql 注入,但是之前有大量代码拼接 sql 语句的情况下。如果密码 hash 后进入 sql 语句,是不需要对密码做这种规定的。那么 12306 既然这么做,就很有可能是因为密码是明文拼接进 sql 语句。
        34
    firebroo   348 天前
    都 9201 念了,12306 没那么 low,明文存密码。
        35
    lc1450   348 天前
    昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了
        36
    ylsc633   348 天前
    1 楼是神人....

    这都能看到是明文存储的?

    哈哈哈... 怕不是一次登录注册都没写过吧....
        37
    ashong   348 天前 via iPhone
    App 修改密码就是不能有特殊字符
        38
    lvxiang119   348 天前
    12306 的密码表现行为不是为了安全原因,而是基于大众普遍的记忆偏好,尤其是父母年龄段的用户群体,对密码的记忆时长出现错乱的情况,特殊符号很难记忆并且很多人无法打出来。
        39
    yzkcy   348 天前
    @linpf

    我觉得解释太牵强。防止 SQL 注入有很多种方式,完全没必要这样。

    而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的,否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。

    我觉得应该是有别的什么原因,以前注册别的网站,也有过用户名及密码只能是数字、字母和下划线的组合。
        40
    abc635073826   348 天前
    @KasuganoSoras 惊了!这么有软妹币的嘛小老弟
        41
    loveour   348 天前
    我倒觉得,更大可能性是 12306 使用群体的问题,铁路部门很多奇葩规定都是有原因的。这个猜一下,会不会因为太多人使用了带有特殊符号的密码又记不住又不会重置找客服,类似这样的原因,导致做了这个规定。什么防止 SQL 注入之类的猜测感觉不是特别靠谱。我也只是一猜。
        42
    loveour   348 天前
    @lvxiang119 #38 我刚也猜是这个原因,你这么说是知道实情吗?还是也是猜测的。
        43
    cojing   348 天前
    网曝 12306 账号暗网泄露:60 万账号、410 万联系人数据低价卖
    https://www.ithome.com/0/402/936.htm

    昨天中午的事儿,暗网上出现了一批 12306 用户数据,😯,懂了 8
        44
    b821025551b   348 天前
    @cojing #43 这么点数据量,哪个抢票平台上漏的吧,和 12306 没有一点关系。
        45
    linpf   348 天前
    @loveour 如果真的是防止忘记,就应该完全不限制密码规定,让用户用一个最顺手的密码。我常用的密码又没有大写也没有特殊符号,像苹果那种网站,又要求大写又要求带特殊符号,我只能想一个不常用的密码,这样才更容易忘记
        46
    e9e499d78f   348 天前 via iPhone
    @DnC 网易就这样的
        47
    xmh51   348 天前
    各位大哥,没注意实体小键盘吗?只能字母加数字加下划线 猜测是这方面的考虑。
        48
    loveour   348 天前
    @linpf #45 什么密码更安全其实也是经过争议和认识的改变的。比如之前某些单位会要求定期修改密码,结果后来发现,如果这样做,密码就会越来越简单,反而不利于安全了。不同的网站就是对密码的要求不一样,我也不知道 12306 是经历了什么所以这么规定,之前的回复也说了是我的猜测。
        49
    xmh51   348 天前
    @loveour 猜测是 实体小键盘
        50
    KasuganoSoras   348 天前
    @liuzhedash 火车坐过,不过是直接去车站买的票,没有在网上订过票
        51
    Jimrussell   348 天前
    @yzkcy #39 12306 当年的第一版,很难说是不是明文存密码,第一次等保测试的时候肯定是上线之后的事情了。我个人认为 12306 早期就是靠这个密码规则防注入的,不要高估有关决策者的专业能力。
        52
    hhhzccc   348 天前
    海心地命。
        53
    jifengg   348 天前   ♥ 1
    我觉得楼主吐槽的点是“只能两种的组合”,而不是“符号只能下划线”,难道是我理解错了?虽然只能下划线也很奇葩。
        54
    silencefent   348 天前
    @shanigan 现代社会防止黑客入侵的方式最好还是物理层面完全断网
        55
    jobscolin   348 天前
    虽说 12306 不咋滴,难道我还能不用吗。。。就算是坨翔,还不是的忍着吞下去???
        56
    TrembleBeforeMe   348 天前
    @jifengg
    截图上明明白白地写着「不少于两种」,不知道楼主怎么解读成「只能为字母和数字或下划线中的两个的组合」的。
        57
    mmdsun   348 天前 via Android
    @sunwei0325 只怕能登陆注册都没写过吧。。。
        58
    skadi   348 天前
    @TrembleBeforeMe ...你看看红色的提示...难道我复制少了?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1839 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 29ms · UTC 16:34 · PVG 00:34 · LAX 08:34 · JFK 11:34
    ♥ Do have faith in what you're doing.