就是没登录次数和验证码来阻止人用已有字典去对罢了...

网站小伙第二次犯错了~

事不过三第三次要开除网站小伙嘛？~

[ 本帖最后由 残想之岚 于 2014-5-22 18:15 编辑 ]

引用:

原帖由 ky-ex 于 2014-5-22 18:11 发表
我注册了他们云服务，我需要该密码吗？

只要你密码符合安全规范并不简单并且和其它网站上不一致的情况下撞库对你来说是没有风险的~

锤子工程师的情怀喷了~

您好，感谢您发现的这个问题。这虽然是业内同行造成的隐患，但对我们和我们的用户仍然重要。我们将在注册页面提醒用户，尽量不要使用在别家网站使用的密码，并定期更换，来解决这个问题可能造成的隐患。我们也有输入错三次密码就弹出验证码的机制。非常感谢。

引用:

原帖由 aironline 于 2014-5-23 11:38 发表
我本来不懂业内同行造成的隐患是什么梗，但是看完撞库的解释就明白了。

撞库的解释是这么一回事~

但撞库的隐患是网站自己造成的...

不能因为情怀就推到友商身上~

说句难听的有撞库隐患哪怕没数据库也可以傻傻的用字典去暴力破解...

只是花费的时间成本会高起来~

[ 本帖最后由 残想之岚 于 2014-5-23 11:51 编辑 ]

引用:

原帖由 aironline 于 2014-5-23 11:54 发表
我的理解是我小米帐号和密码，和我锤子帐号密码一样的。我在小米的帐号泄露了，那黑客拿我小米帐号密码去登录锤子自然就一登录就上，这个叫撞库，是不是这个意思？如果是的话，这个小米这边泄密了，锤子这边怎么也没 ...

撞库是一种行为~

并不是针对个人的~

如果要按你说的去解释的话~

那么就是很多网站的用户的数据库被拖下来后情怀网站因为没有登录限制所以可以一直不停的被尝试利用已有数据库中账号以及密码信息组成简单的密码字典来碰撞看看是否能对上...

在网站没有登录限制的情况下本身就可以用工具不停尝试密码...

这隐患是网站本身造成的~

碰撞的成功率则和攻击者掌握的数据库有关~

[ 本帖最后由 残想之岚 于 2014-5-23 12:05 编辑 ]

引用:

原帖由 000月 于 2014-5-23 19:06 发表
全都不一样+1，自从CSDN泄露之后就学乖了

不得不提醒一句对这种攻击方式来说全部不一样并不代表安全~

各密码账号之间没有任何联系并且密码强度达到中高以上才是安全~