密码只能为字母和数字或下划线中的两个的组合!
真是惊呆了.
1
sunwei0325 2018-12-28 21:41:26 +08:00 1
说明密码就是明文存的
|
2
Osk 2018-12-28 21:43:12 +08:00
@sunwei0325 这看不出来吧...
|
3
bestie 2018-12-28 22:27:21 +08:00
试了一下,无法复现 ___AAA111
楼主可以给一个复现的例子 |
4
alexmy 2018-12-28 22:28:18 +08:00
是很奇葩啊,刚改不久,随机了一堆字符串后,想手动加点符号,结果只能加几个下划线。
|
5
WangXg 2018-12-28 23:00:31 +08:00
是除了字母和数字,只能用下划线,而不能用其他符号的意思吧?
|
6
dong3580 2018-12-28 23:31:57 +08:00 via Android
所以不允许用 @#()/\+-这类符号是为了输入密码方便么?
|
7
opengps 2018-12-28 23:34:03 +08:00 via Android 3
我猜是为了防止 sql 注入的做法,只允许下划线怎么拼凑都成不了 sql 语句
|
8
masker 2018-12-28 23:34:38 +08:00 via Android
@sunwei0325 求教这是怎么看出来的。
|
9
yzkcy 2018-12-29 00:10:50 +08:00
@sunwei0325 怎么说?
|
10
suith27 2018-12-29 01:09:47 +08:00
我今天也刚改了,就是有这种无理的要求!
(使用 LastPass 自动生成的密码,提示见楼主图片 |
12
KasuganoSoras 2018-12-29 02:30:48 +08:00 via Android
从来不在 12306 买票,我也没有坐火车的需求
出门都是骑车,坐公交车或者地铁,比较远的就开车,再远一点的就坐飞机了 |
13
KINGSHINE 2018-12-29 03:17:23 +08:00 via Android
@sunwei0325 扯淡呢明文
|
14
KINGSHINE 2018-12-29 03:18:03 +08:00 via Android
@KasuganoSoras 为什么不坐火车
|
15
jamesxu 2018-12-29 07:34:51 +08:00 via iPhone
是不是拿\w 正则校验的?这个只允许大小写、数字和下划线
|
16
0312birdzhang 2018-12-29 08:12:50 +08:00 via iPhone
还有这个 ![IMG_7166.png]( https://i.loli.net/2018/12/29/5c26bbf068d14.png)
|
17
0312birdzhang 2018-12-29 08:13:25 +08:00 via iPhone
@bestie 用手机 app 随时复现
|
18
7654 2018-12-29 08:18:29 +08:00
早在第一次 12306 被传拖库的时候我发现了这一奇葩规定
但是我注册的时候并没有要求这些,所以我的密码中也特殊字符 |
19
citydog 2018-12-29 08:25:15 +08:00
@sunwei0325 脑路清奇,怎么个理由?说说!不能为了喷而喷昂
|
20
dtsover 2018-12-29 08:29:41 +08:00
用户密码和被拖库有撒关系?用户密码高复杂度不是为了防治撞库登陆?但一般不是有试错次数限制的吗?
|
21
dtsover 2018-12-29 08:31:29 +08:00
sql 注入倒是一个可能,但这么大的网站设计之初如果不防范这个很难理解啊。
|
22
liuzhedash 2018-12-29 09:18:11 +08:00
@KasuganoSoras #12
惊了,从来没坐过? |
23
openbsd 2018-12-29 09:25:54 +08:00
|
25
crab 2018-12-29 09:26:54 +08:00
昨天去注册提交时候提示没填写国家地区,但页面根本没这个选择的,审查元素发现是设置了 displaynone,去掉后选择才能正常注册,莫名其妙。
|
26
jasonsui 2018-12-29 09:33:41 +08:00 via Android
@sunwei0325 抓个包看看都知道不是明文存的吧
|
27
DnC 2018-12-29 09:36:50 +08:00 1
你的至少还有提示,不知道你见过这样奇葩的没:
(我一般密码中喜欢带一个特殊字符,这是前提) 有的网站,在登录的 pwd 框中,不允许你输入特殊字符,是不允许。即,他把你输入的特殊字符直接 ignore,且不告诉你,不告诉你 (因为 pwd 狂都是*,你也很难觉察)。但是 mmp 的,在更改密码的时候,那个输入框却又允许你输入特殊字符! 然后我某次改了密码之后,就他喵的死活登录不上去了!!! |
28
neptuno 2018-12-29 09:41:28 +08:00
防止你们用密码生成器吗 2333
|
30
hst001 2018-12-29 09:50:18 +08:00
简单想一想,会不会只是单纯地是产品经理这样要求而已
|
31
wwuha 2018-12-29 09:50:52 +08:00
什么时候的事,我昨晚手机端改密码没有这个提示
|
33
linpf 2018-12-29 09:53:17 +08:00 1
|
34
firebroo 2018-12-29 10:07:43 +08:00
都 9201 念了,12306 没那么 low,明文存密码。
|
35
lc1450 2018-12-29 10:13:17 +08:00
昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了
|
36
ylsc633 2018-12-29 10:14:58 +08:00
1 楼是神人....
这都能看到是明文存储的? 哈哈哈... 怕不是一次登录注册都没写过吧.... |
37
ashong 2018-12-29 10:17:00 +08:00 via iPhone
App 修改密码就是不能有特殊字符
|
38
lvxiang119 2018-12-29 10:18:08 +08:00
12306 的密码表现行为不是为了安全原因,而是基于大众普遍的记忆偏好,尤其是父母年龄段的用户群体,对密码的记忆时长出现错乱的情况,特殊符号很难记忆并且很多人无法打出来。
|
39
yzkcy 2018-12-29 10:34:21 +08:00
@linpf
我觉得解释太牵强。防止 SQL 注入有很多种方式,完全没必要这样。 而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的,否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。 我觉得应该是有别的什么原因,以前注册别的网站,也有过用户名及密码只能是数字、字母和下划线的组合。 |
40
abc635073826 2018-12-29 11:00:19 +08:00
@KasuganoSoras 惊了!这么有软妹币的嘛小老弟
|
41
loveour 2018-12-29 11:04:49 +08:00
我倒觉得,更大可能性是 12306 使用群体的问题,铁路部门很多奇葩规定都是有原因的。这个猜一下,会不会因为太多人使用了带有特殊符号的密码又记不住又不会重置找客服,类似这样的原因,导致做了这个规定。什么防止 SQL 注入之类的猜测感觉不是特别靠谱。我也只是一猜。
|
42
loveour 2018-12-29 11:05:31 +08:00
@lvxiang119 #38 我刚也猜是这个原因,你这么说是知道实情吗?还是也是猜测的。
|
43
cojing 2018-12-29 11:17:23 +08:00
网曝 12306 账号暗网泄露:60 万账号、410 万联系人数据低价卖
https://www.ithome.com/0/402/936.htm 昨天中午的事儿,暗网上出现了一批 12306 用户数据,😯,懂了 8 |
44
b821025551b 2018-12-29 11:22:58 +08:00
@cojing #43 这么点数据量,哪个抢票平台上漏的吧,和 12306 没有一点关系。
|
45
linpf 2018-12-29 11:27:49 +08:00
@loveour 如果真的是防止忘记,就应该完全不限制密码规定,让用户用一个最顺手的密码。我常用的密码又没有大写也没有特殊符号,像苹果那种网站,又要求大写又要求带特殊符号,我只能想一个不常用的密码,这样才更容易忘记
|
46
e9e499d78f 2018-12-29 11:30:26 +08:00 via iPhone
@DnC 网易就这样的
|
47
xmh51 2018-12-29 11:31:39 +08:00
各位大哥,没注意实体小键盘吗?只能字母加数字加下划线 猜测是这方面的考虑。
|
48
loveour 2018-12-29 11:33:46 +08:00
@linpf #45 什么密码更安全其实也是经过争议和认识的改变的。比如之前某些单位会要求定期修改密码,结果后来发现,如果这样做,密码就会越来越简单,反而不利于安全了。不同的网站就是对密码的要求不一样,我也不知道 12306 是经历了什么所以这么规定,之前的回复也说了是我的猜测。
|
50
KasuganoSoras 2018-12-29 12:56:27 +08:00
@liuzhedash 火车坐过,不过是直接去车站买的票,没有在网上订过票
|
51
Jimrussell 2018-12-29 13:05:37 +08:00
@yzkcy #39 12306 当年的第一版,很难说是不是明文存密码,第一次等保测试的时候肯定是上线之后的事情了。我个人认为 12306 早期就是靠这个密码规则防注入的,不要高估有关决策者的专业能力。
|
52
hhhzccc 2018-12-29 14:07:36 +08:00
海心地命。
|
53
jifengg 2018-12-29 16:24:51 +08:00 1
我觉得楼主吐槽的点是“只能两种的组合”,而不是“符号只能下划线”,难道是我理解错了?虽然只能下划线也很奇葩。
|
54
silencefent 2018-12-29 16:29:22 +08:00
@shanigan 现代社会防止黑客入侵的方式最好还是物理层面完全断网
|
55
jobscolin 2018-12-29 16:40:39 +08:00
虽说 12306 不咋滴,难道我还能不用吗。。。就算是坨翔,还不是的忍着吞下去???
|
56
TrembleBeforeMe 2018-12-29 17:42:31 +08:00
@jifengg
截图上明明白白地写着「不少于两种」,不知道楼主怎么解读成「只能为字母和数字或下划线中的两个的组合」的。 |
57
mmdsun 2018-12-29 18:51:44 +08:00 via Android
@sunwei0325 只怕能登陆注册都没写过吧。。。
|
58
skadi OP @TrembleBeforeMe ...你看看红色的提示...难道我复制少了?
|