我们发现你在XX邮箱的账号密码与其他网站被盗账号密码一致 请立即更改密码。
2012-03-03 09:26
555 查看
上次登录XX邮箱,被告知我的邮箱密码与其他账号存在着相同的密码,要求我更改。
提示如下:我们发现你在XX邮箱的账号密码与其他网站被盗账号密码一致 请立即更改密码。
我就改了,然而第2天居然忘记了前天改的密码。然后再次准备修改,熟悉XX邮箱修改密码的同学知道有手机绑定等几种方法,因为我没用办理其他业务,只能使用密保问题来修改密码,然而使用密保问题修改却又被告知:您在最近7日内曾经登录过XX邮箱,暂时不能通过“密保问题”方式找回密码!
从字面意思来看,让我觉得有二义性:他这里说的登陆过是指登录成功了算一次,还是指我已登录而不管成功不成功都算登录过一次??这个太变态了!!那好吧,我就都等了一个星期,再使用密码修改密码。。还是这样。。。不知道是不是登录而不管成功不成功都算登录过一次。
回头想想,其一、上次因为XX邮箱报我的密码和其他邮箱密码重复(XX邮箱会检测其他邮箱(如网易)的同名邮箱(后面的术语表会解释什么是同名邮箱)是否与自己有相同的密码),而告知我需要修改密码,我改了密码之后,记得是那个密码啊,实际上却老是不对。。。头痛?应该是我忘记了。告诉你一个小秘密,现在邮箱开放了外部登录接口,破解邮箱密码比以前容易多了。。。就像使用暴力破解破解Word文档密码一样(简单密码很容易被破解)。
其二、从技术上将,XX邮箱会检测其他邮箱(如网易)的同名邮箱或账号是否与XX邮箱有相同的密码,必须有一个条件,1、XX邮箱直接或者间接保存了用户的明文密码。其中因为这样他才得以检测出是否与其他账号有相同密码(不知道有木有更高明的手短)。。。。
分析下我上面说的其二的情况:一般网站的保存密码的形式是通过某种算法将用户的明文密码加密成一种不可逆转的密文,以后用户登录比对密码只需要再次加密客户端输入的密码的加密后的密文与存储的密文密码是否匹配即可。如果网站没有存储明文密码而只存储密文密码,那么其最起码的检测其他邮箱账号所需要的基础条件就没了(密文密码不可逆)。如果觉得文字拗口,下面的图体现了我的想法:
当然,危机感加重的进入,这只我的愚钝猜测,其实技术上完全可以以更简单的技术检测与其他账号是否存在相同的密码!考虑这个问题就得考虑明文密码如何得到。。。可以在用户登录时(登录时用户提供了明文密码在网络传输是通过可逆的加密算法加密的,而非密码加密之后比对时)获得明文密码(或者间接明文密码(可逆的加密算法))进行同名邮箱进行(所谓同名邮箱前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,其中aa和bb代表不同的邮箱服务)比对,这种方式更可取。
希望使用我最后谈及的方式达到的目的,而非第一种方式。。。人品自在人心,技术各有千秋,想整倒弱势群体方法千千万万,欲完善服务机制任重道远
术语表:
同名邮箱:邮箱名前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,代表服务公司不同的后缀不同,其中aa.com和bb.com代表不同的邮箱服务。
XX邮箱:某知名邮箱
间接明文:通过某种手短能可逆的获得明文的密文。
提示如下:我们发现你在XX邮箱的账号密码与其他网站被盗账号密码一致 请立即更改密码。
我就改了,然而第2天居然忘记了前天改的密码。然后再次准备修改,熟悉XX邮箱修改密码的同学知道有手机绑定等几种方法,因为我没用办理其他业务,只能使用密保问题来修改密码,然而使用密保问题修改却又被告知:您在最近7日内曾经登录过XX邮箱,暂时不能通过“密保问题”方式找回密码!
从字面意思来看,让我觉得有二义性:他这里说的登陆过是指登录成功了算一次,还是指我已登录而不管成功不成功都算登录过一次??这个太变态了!!那好吧,我就都等了一个星期,再使用密码修改密码。。还是这样。。。不知道是不是登录而不管成功不成功都算登录过一次。
回头想想,其一、上次因为XX邮箱报我的密码和其他邮箱密码重复(XX邮箱会检测其他邮箱(如网易)的同名邮箱(后面的术语表会解释什么是同名邮箱)是否与自己有相同的密码),而告知我需要修改密码,我改了密码之后,记得是那个密码啊,实际上却老是不对。。。头痛?应该是我忘记了。告诉你一个小秘密,现在邮箱开放了外部登录接口,破解邮箱密码比以前容易多了。。。就像使用暴力破解破解Word文档密码一样(简单密码很容易被破解)。
其二、从技术上将,XX邮箱会检测其他邮箱(如网易)的同名邮箱或账号是否与XX邮箱有相同的密码,必须有一个条件,1、XX邮箱直接或者间接保存了用户的明文密码。其中因为这样他才得以检测出是否与其他账号有相同密码(不知道有木有更高明的手短)。。。。
分析下我上面说的其二的情况:一般网站的保存密码的形式是通过某种算法将用户的明文密码加密成一种不可逆转的密文,以后用户登录比对密码只需要再次加密客户端输入的密码的加密后的密文与存储的密文密码是否匹配即可。如果网站没有存储明文密码而只存储密文密码,那么其最起码的检测其他邮箱账号所需要的基础条件就没了(密文密码不可逆)。如果觉得文字拗口,下面的图体现了我的想法:
当然,危机感加重的进入,这只我的愚钝猜测,其实技术上完全可以以更简单的技术检测与其他账号是否存在相同的密码!考虑这个问题就得考虑明文密码如何得到。。。可以在用户登录时(登录时用户提供了明文密码在网络传输是通过可逆的加密算法加密的,而非密码加密之后比对时)获得明文密码(或者间接明文密码(可逆的加密算法))进行同名邮箱进行(所谓同名邮箱前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,其中aa和bb代表不同的邮箱服务)比对,这种方式更可取。
希望使用我最后谈及的方式达到的目的,而非第一种方式。。。人品自在人心,技术各有千秋,想整倒弱势群体方法千千万万,欲完善服务机制任重道远
术语表:
同名邮箱:邮箱名前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,代表服务公司不同的后缀不同,其中aa.com和bb.com代表不同的邮箱服务。
XX邮箱:某知名邮箱
间接明文:通过某种手短能可逆的获得明文的密文。
相关文章推荐
- 乐凯宝网站维护心得,二是调修改短信接口,测试后发现余额不足,更改账号和密码即可,附代码
- 发现21cn邮箱存在严重的安全漏洞及风险,对于申请密保的邮箱可以随便更改任意用户的密码
- 4.设计一个Email邮箱注册应用程序。要求:用户输入完成单击“立即注册”按,判断“密码”和“确认密码”文本框内容是否一致,如果一致在立即注册按钮上方显示用户输入的邮件地址,运行结果如图所示。
- php和mysql web开发学习笔记1 --关于在phpstudy中发送电子邮件的例子 自动把更改后的密码发到客户邮箱中 [mail function]函数设置
- crontab中执行其他账号运行的程序 免密码
- Win7"更改高级共享设置"网络发现不能启用,无法搜索和共享其他电脑的文件
- 颤抖!五星级酒店WIFI藏黑客:连接后,银行卡、邮箱等密码全被盗
- Django网站建设-用户注册、登陆、邮箱激活、密码找回
- JavaEE账号注册模拟网站邮箱激活
- LinkedIn被盗账号的前30大常用密码
- 怎么在leangoo里绑定账号,更改邮箱?
- OS X Lion发现可随意更改用户密码漏洞
- SQL 数据库Sa账号密码不能更改问题
- 盗取网站账户密码和本地邮箱木马分析
- 正则表达式限制 账号 密码 邮箱 身份证 手机号的相关代码
- SQL注入全过程,含实例初步注入--绕过验证,直接登录安全较低公司网站登陆框如下:可以看到除了账号密码之外
- 网站登录时密码忘记,通过向邮箱发送验证链接实现重置密码的实现方法
- 网络访问:本地账号的共享和安全模式设置身份验证后自动更改其他验证的处理方法
- 对于登陆等敏感信息,我们很多时候不希望浏览器记住账号或者密码
- 本地更改登陆的SVN账号密码