MovableType到底是如何来处理密码的?

这几天闹得沸沸扬扬的CSDN密码泄露事件,给各位网友敲了一个警钟,并不是所有的网站都很在意用户的个人信息,竟然密码明文存储......

说到明文存储密码,让我想起了一件事,那就是Movable Type的密码处理方式,比如用户设置了9位以及以上的密码,只要正确输入前八位的密码,即可登录,如果密码少于8位,那么必须全部输入才可登录。在后台修改密码的时候,也只要正确输入前八位密码即可。

密码截取对密码安全有意义吗?我觉得在一定程度上还是有意义的。

现在的加密方法,宣称是不可逆向的,但是有了列举之后,密文逆向也就成了可能,当然,复杂的密码还是蛮安全的。当密文只有一部分的时候,那你逆向就没辙了,当数据库被黑客窃取,那就没办法了。

但是,Movable Type没有对加密后的密文进行截取,从MT.org的一篇日志可以看到,MT使用的是encrypt函数来加密密码的,从MySQL网站上看到,encrypt函数本身在进行加密的时候,除了明文前八位字符之外会忽略所有内容,所以Movable Type的密码,最多是八位数。

Movable Type什么时候对密码处理方式进行升级呢?8位的密码,是不是短了点?各位Movable Type的用户,把密码设置复杂点吧,你要知道,你的密码有效位数只有八位呢!

4 Comments

  1. 按重要程度不同 分别 设定几套帐号密码 还是比较重要的 。
    为什么MT会采取这种加密方式 只限定8位很奇怪。
    PS. 预祝 圣诞快乐哈 ^_^

  1. 只有8位数的密码,看上去有点短,不过,如果要进行暴力破解的话,那还是需要一定的时间的。不知道MT有没有插件,比如3次输入密码错误,锁定15分钟,这样能更好地防范暴力破解。

留言

Your email address will not be published. Required fields are marked *