V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  ZE3kr  ›  全部回复第 9 页 / 共 185 页
回复总数  3694
1 ... 5  6  7  8  9  10  11  12  13  14 ... 185  
当你使用前端加密,并同时修改后端加密,以尽可能避免这些攻击时,你会发现你最终实现的东西是跟 Passkey 一样的。Passkey 不但不会泄漏原始密码,同时每次登陆所传输的东西还是不一样的
@userKamtao 用处微乎其微

1. 如果泄漏行为本身发生在前端(如恶意浏览器插件),那无论如何 hash 还是会泄漏原密码(读密码输入框/键盘事件),从而所有网站登录被攻破(无论是否前端加密);
2. 原密码在其他未前端加密平台(是大多数网站)的后端或者传输层被泄漏,也一样可以计算出 hash 后的密文在你的平台上登录;
3. hash 后的密码在你的平台上的后端/传输层泄露,那所有用一样前端的前端加密算法的平台也一样可以登录了

下面考虑情况 3 ,能否每个网站做到不同的 hash ,从而实现每个网站的 hash 算法都不一样。这个可以做到(在 hash 前 append/prepend 一个平台 dependent 字符串就行)。但因为有 1-2 的存在所以 3 的意义有限。此外它带来的麻烦也不少,比如需要修改多个前端(不同客户端和网站)

而且我也提供了解决方案,直接用 Passkey 。用 Passkey 才是王道,而且绝大多数新版的 OS 都支持了
常规的解决方案就是前端不额外加密,密码直接 HTTPS 传,加盐 hash 后存数据库。我敢说绝大多数大厂的登录都是这样的。而且只要是 https 了,那就绝对不是“明文传输”了。如果 OP 觉得 devtools 里是明文有危险,那我可以告诉你,如果黑客都已经能读到这一层数据了,那直接监听键盘,或者直接读密码输入框都是可以做到的。
确实是脱裤子放屁,某种程度上来说你 md5 后反而更不安全了,甭管你是否加盐,也甭管换啥更安全的 hash ,原本密码的不均匀的分布规律在 md5 后也一样不均匀,并且 md5 后的密码长度反而成为了固定值( 128bits ),墒反而可能会降低,黑客可以确切的知道要 brute force 的密码格式;常用密码攻击也一样无法避免,原本用常用密码攻击,现在是用 hash 后的常用密码攻击

而且就像之前人所说的,如果黑客原本能拿到密码,那黑客现在也能拿到 hash ,而这个 hash 也一样是永久有效的,等同于密码

至于服务器 log ,如果 POST Body 都明文 log 下来了,那 hash 后的密码不也一样 log 下来了,而且很多同样敏感的 POST Body 也一样会 log 下来。这种属于 XY Problem ,应该去解决本质问题,而不是去其他地方脱裤子放屁

99%的情况下,没有学习过密码学的人自创的加密方法都是不安全的或者是没意义的。建议用现成的工具,比如 https 。确实明文传密码有不安全之处,此时的解决方案是去用 TOTP 、Passkey 这种成熟的加密解决方案(后者也涉及到“前端”加密),而不是去研究自创的前端加密这种脱裤子放屁的事
240 天前
回复了 JingXiao 创建的主题 问与答 京东自营的碎屏险靠谱么?
爱回收也卖类似的,也承诺原厂屏幕,但必须去人家指定的苹果授权维修点换,不能 Apple Store 换。

除非它这个保险我可以自己去 Apple Store Genius Bar 先垫付 3198 的维修费换屏,然后事后拿 3198 的发票给我报销 3198 ,我才会相信,不然都是扯淡
@rajesh941 一般是 or 的关系,任意一个人都可以取款。几个大银行都可以我记得
建议直接开联名账户( joint account ),两个人都可以登录网银操作。如果一个人被骗了另一个人也可以通知银行冻结。
245 天前
回复了 wdold 创建的主题 生活 有防蓝光但是看东西不泛黄的镜片吗?
变黄应该不难理解吧,RGB 三原色 B 变少了 RG 占比就变大了,RG 加起来就是黄色

https://upload.wikimedia.org/wikipedia/commons/9/91/Venn_diagram_rgb.svg

变黄至少说明有点效果。
因为 block 高度通常默认不是 100vh ,但宽度通常是占满的吧
247 天前
回复了 007yxc 创建的主题 Apple ios 上的记账软件都好复杂,有良心推荐吗?
MoneyWiz ,可以自动同步美国和欧洲的网银不用导入数据,并且 Setapp 订阅里自带
美国 PayPal 可以直接卖 BTC ,前提是你不是云注册的美国 PayPal 。美国 Coinbase 也可以。这俩都是交易所直接交易,不是 C2C ,换成的美金可以直接提款到美国银行账户,无风险
国内还不给男性打,不管什么年龄。
253 天前
回复了 QingquanBaby 创建的主题 问与答 为什么打电话要按分钟收费
为什么打电话要按秒收费
每次通话结束在 1.001 秒的时候,就算两秒钟了
如果这样比较,运营商的利润还是挺大的
现在计算机时钟那么准了,为啥不按毫秒计费
254 天前
回复了 conky 创建的主题 Apple Apple Cash 竟然申请成功了
@huoshen 没啥用,当 checking 用的话利息低、功能少、没实体卡没法 ATM 取现、收不了电汇;当即时转账用的话也不如 Zelle/Venmo/Cash 用的广泛;这玩意在美国市场占有率应该也远低于竞品。
1 ... 5  6  7  8  9  10  11  12  13  14 ... 185  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5586 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 46ms · UTC 06:38 · PVG 14:38 · LAX 22:38 · JFK 01:38
Developed with CodeLauncher
♥ Do have faith in what you're doing.