这几天闹得沸沸扬扬的CSDN密码泄露事件,给各位网友敲了一个警钟,并不是所有的网站都很在意用户的个人信息,竟然密码明文存储......
说到明文存储密码,让我想起了一件事,那就是Movable Type的密码处理方式,比如用户设置了9位以及以上的密码,只要正确输入前八位的密码,即可登录,如果密码少于8位,那么必须全部输入才可登录。在后台修改密码的时候,也只要正确输入前八位密码即可。
密码截取对密码安全有意义吗?我觉得在一定程度上还是有意义的。
现在的加密方法,宣称是不可逆向的,但是有了列举之后,密文逆向也就成了可能,当然,复杂的密码还是蛮安全的。当密文只有一部分的时候,那你逆向就没辙了,当数据库被黑客窃取,那就没办法了。
但是,Movable Type没有对加密后的密文进行截取,从MT.org的一篇日志可以看到,MT使用的是encrypt函数来加密密码的,从MySQL网站上看到,encrypt函数本身在进行加密的时候,除了明文前八位字符之外会忽略所有内容,所以Movable Type的密码,最多是八位数。
Movable Type什么时候对密码处理方式进行升级呢?8位的密码,是不是短了点?各位Movable Type的用户,把密码设置复杂点吧,你要知道,你的密码有效位数只有八位呢!
4条留言
留言