allesegal 发表于 2013-11-7 12:02
看到这里稍微明白点了,那这次搜狗的问题来说,问题大概出·在设定用户为登录状态,把数据表打包下载·这 ...
这个比喻不错。
shrek_munich 发表于 2013-11-7 12:00
我说了,这里最大的问题在于,pw如果丢失,所有的G(info, pw)变成死数据
他非要和我纠结G(info, pw)的效 ...
G(info, pw)死了就死了,还是那句话,敏感数据宁丢勿漏。
先提到G(info, pw)和~G()效率的是你啊,而且确实没说到点上。
另外challenge的作用不是增加复杂度,而是对抗网络抓包。不然别人想办法抓到你的token,就可以登陆了。而配上随机challenge,每次的token都不一样。
本帖最后由 shrek_munich 于 2013-11-7 12:11 编辑
moudy 发表于 2013-11-7 12:07
G(info, pw)死了就死了,还是那句话,敏感数据宁丢勿漏。
先提到G(info, pw)和~G()效率的是你啊,而且 ...
我说的是,如果可逆的话,decode+encode的效率.....
https下抓包问题应该已经在协议层解决了吧
我重新回去看了原文,我说的是
如果更改密码,所有数据无效,这里的无效是死了啊
他就给我理解成,有老密码,decode+encode,然后就开始鄙视我不知道加密效率,我说,我带863的时候不知道他上大学了没
我说他自以为是很过分么,你仔细看清楚我的帖子,别被他自言自语误导了好吧
moudy 发表于 2013-11-7 12:07
G(info, pw)死了就死了,还是那句话,敏感数据宁丢勿漏。
先提到G(info, pw)和~G()效率的是你啊,而且确实没说到点上
回帖支持表示你不是我的马甲,
回复太精彩了!
shrek_munich 发表于 2013-11-7 12:00
我说了,这里最大的问题在于,pw如果丢失,所有的G(info, pw)变成死数据
他非要和我纠结G(info, pw)的效 ...
他的意思就是pw不能丢,丢了活该,士可杀不可辱,丢了那就只能自己重新再去另外建个g(info,pw)。。。纯提问,这个pw没丢的情况下,应该也是可以改吧,自己把自己绕昏了。。应该是能改吧。。。{:5_355:}
爬完楼终于搞搞明白了。。。我真是闲的。。。
moudy 发表于 2013-11-7 11:53
他说的比你这里写的还要复杂。
用户输入 pw, 服务器提供固定salt和随机challenge。本地计算 H2(H1(pw, ...
你这个解释的最清楚了。。。{:5_370:}
allesegal 发表于 2013-11-7 12:24
他的意思就是pw不能丢,丢了活该,士可杀不可辱,丢了那就只能自己重新再去另外建个g(info,pw)。。。 ...
当然能改,呵呵,不是 info 的都理解得这么透彻
shrek_munich 发表于 2013-11-7 12:08
我说的是,如果可逆的话,decode+encode的效率.....
https下抓包问题应该已经在协议层解决了吧
呃。。。大概是这个"如果更改密码"引起歧义了吧。。。我开始也理解成是有老密码去修改成新密码。。。。{:5_333:}
zpvip 发表于 2013-11-7 12:26
当然能改,呵呵,不是 info 的都理解得这么透彻
我可以理解为
作为设计者,我都已经点名了丢失密码可能无效,你难道自己都没有意识到如果没有老密码,数据会死么?这都理解错我能够认为你考虑的时候根本没有把这种情况考虑进去么?实际上用户忘掉密码并不是什么新鲜事
本帖最后由 zpvip 于 2013-11-7 14:28 编辑
中午吃了顿畅快饭。
我很久不用firefox了,看了一下,firefox现在也支持 master password 了,不过跟 lastpass 一样,忘记了就惨了,数据全丢。
https://support.mozilla.org/en-US/kb/use-master-password-protect-stored-logins
https://support.mozilla.org/en-US/kb/reset-your-master-password-if-you-forgot-it
OS X FileVault 2 的密码也不能丢
http://support.apple.com/kb/HT4790?viewlocale=zh_CN
Roboform 填表的也不能丢Master Password
http://www.roboform.com/tutorials/reset-master-password
Keepass 的 Master Password 也不能丢
http://keepass.info/help/base/keys.html
1Password 也一样
http://learn.agilebits.com/1Password4/iOS/Tutorials/ios-forgot-mp.html
lastpass 和 wuala.com 就更不用说了
好像全天下管敏感信息的,只有搜狐是特例,没有 master password
另外,给dropbox做各种加密的软件或在线服务,也不允许用户忘记密码
https://www.boxcryptor.com
http://www.techbang.com/posts/12603-dropbox-cloud-sync-encrypted-files-important-data-releases
http://www.truecrypt.org/faq