V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PublicID
V2EX  ›  问与答

为什么有些服务商不允许密码含有"特殊字符"?

  •  
  •   PublicID · 2015-07-24 10:48:03 +08:00 · 3302 次点击
    这是一个创建于 3410 天前的主题,其中的信息可能已经有所发展或是发生改变。
    27 条回复    2015-07-24 17:22:12 +08:00
    abelyao
        1
    abelyao  
       2015-07-24 11:22:59 +08:00
    之前也会觉得挺无语的,因为加密存储的话也没多大关系了啊。
    后来发现可能是因为:
    1、密码被破解,要么是被社工,要么被字典,网站被暴力破解的几率太低了,一般都有做几次错误就不让尝试的一道关卡;
    2、弄特殊字符并不能让整个密码变得更安全,但却会让用户输错密码、忘记密码的几率提升;
    dorentus
        2
    dorentus  
       2015-07-24 11:25:21 +08:00
    @abelyao
    允许特殊字符并不会让用户输错密码、忘记密码的几率提升啊

    强制要求特殊字符或者强制要求不包含特殊字符,导致用户没法用自己常用的密码,才会让用户输错密码、忘记密码的几率提升
    abelyao
        3
    abelyao  
       2015-07-24 11:27:35 +08:00
    @dorentus 也是,但是常用密码就容易被社工了。符合自己的“密码规则”确实是更不容易弄错。
    abelyao
        4
    abelyao  
       2015-07-24 11:28:33 +08:00
    @dorentus 那么除了这点,目前我想不出还有其它原因是不让用特殊字符了,除非,网站要明文记录密码,并且懒得做字符编码处理。
    iqav
        5
    iqav  
       2015-07-24 11:32:50 +08:00
    不好意思,问个题外话
    为什么我表发帖子,自动沉了,时间变成4天前。
    明明刚发表,就被沉到4天前。。。
    不解。
    wy315700
        6
    wy315700  
       2015-07-24 11:37:40 +08:00 via iPad
    防止编码问题吧
    比如跨平台的时候,安全键盘里没有输入法。
    publicID001
        7
    publicID001  
       2015-07-24 11:43:31 +08:00
    楼上几位是不是想多了,大多数情况下这种网站不是直接拼接SQL语句插明文密码进数据库的么?
    abscon
        8
    abscon  
       2015-07-24 11:49:39 +08:00
    @publicID001 拼接SQL语句插明文密码,不做参数化查询么?

    类似于这样的密码 123456'); DROP TABLE table;--
    分分钟教这种网站做人
    publicID001
        9
    publicID001  
       2015-07-24 11:56:33 +08:00
    @abscon 2333所以不允许你用"特殊字符"嘛
    imn1
        10
    imn1  
       2015-07-24 12:00:07 +08:00
    @iqav
    呵呵,现在轮到你了?11年注册也不是新用户了
    这个问题从去年底(V2某次迁徙)开始困扰我8个月,@L大也没回响,就基本不怎么发帖了
    本月初一个问题忍不住问了,惊奇发现不再是“2天前”

    感觉自己也没做过什么改动,非要说变化的可能就是:
    firefox 升到39.0
    上个月把 lastpass 禁用了(也没其他密码记录扩展)
    上个月活跃度比之前高了些,但也不过是那个进度条刚刚见到绿色而已
    把 v2ex DNS转为 udp 解析(之前用 tcp,多数是连到美西服务器),现在基本是连到国内服务器
    强制 https,不过这个是去年中就这样,应该跟这个没关系
    some0ne
        11
    some0ne  
       2015-07-24 12:00:46 +08:00
    @abscon 你这个密码里面没一个特殊字符啊 搭配shift全都能打出来。特殊字符是一定要用输入法打出来才能叫特殊字符吧 比如:⑨
    PublicID
        12
    PublicID  
    OP
       2015-07-24 12:03:15 +08:00
    @imn1 我最近发帖也是这样,刚发布的提示X天/小时前
    tobyxdd
        13
    tobyxdd  
       2015-07-24 12:33:10 +08:00 via Android
    @imn1 同 如果是人为的也许是我之前喷人来着。。
    tabris17
        14
    tabris17  
       2015-07-24 12:36:28 +08:00
    因为总有一些自以为是的傻逼产品经理啊
    iqav
        15
    iqav  
       2015-07-24 12:45:17 +08:00
    @imn1 我这里已经有几天了,新发的贴子就沉了,也就没有人关注,没有互动,没啥用。
    如果这不是 BUG 的话,那可能就是一种机制,最近我的绿色进度条总是跑得特别快。
    br00k
        16
    br00k  
       2015-07-24 12:51:39 +08:00
    碰到几个好坑的网站,注册的时候密码能包含特殊符号,登陆的时候就不支持了。当场就直接sb了。
    abscon
        17
    abscon  
       2015-07-24 13:01:58 +08:00 via iPhone
    @some0ne 我回复的是7楼,关注点不是特殊字符而是安全
    Gandum
        18
    Gandum  
       2015-07-24 13:13:02 +08:00 via iPhone
    后遗症吧,以前肯定会有不少硬拼语句直接插入明文密码进数据库的,虽然现在都是框架自动处理,但毕竟都习惯了
    userlogin
        19
    userlogin  
       2015-07-24 13:30:45 +08:00
    @iqav 新账号的权重低,帖子的排序会靠后,时间会提前。
    @imn1 之前你也看过Livid关于时间的解释了,无非是活跃度和注册时间长短的问题,不懂你为什么还要扯其他环境改变的问题,比较容易误导人。
    lshero
        20
    lshero  
       2015-07-24 13:34:00 +08:00
    话说插入数据库后的不应该都是哈希过后的嘛,为啥还会担心特殊符号呢?
    我感觉是不是有些网站苦于XSS 然后又懒得防就用WAF之类的统一过滤
    所以就整出了一个这个策略?
    czz811
        21
    czz811  
       2015-07-24 13:36:01 +08:00
    这算什么,还有的网站要求密码不能超过8位呢
    imn1
        22
    imn1  
       2015-07-24 14:03:08 +08:00
    @userlogin
    如果是这样只能说我也被误导了
    之前就@过L多次,也在反馈节点问过,基本没回复,其他人说的注册时间问题逻辑上根本说不通,因为在出现这个问题前有近半年时间发帖都是显示几分钟前的,就是迁徙后某天开始发帖就变成8小时、2天前,毫无预兆,活跃度也高于之前(至少回帖数量是),不同机器、不同系统一样如此。所以要么就是服务器问题(这点没有得到v2回应),要么就是自身环境问题了
    iqav
        23
    iqav  
       2015-07-24 14:10:23 +08:00
    @userlogin 我的号是11年的,也算是老号来的了。
    https://www.v2ex.com/t/207666#reply2
    你可以看下这个贴子,主题发完后我觉得异常,就截图回复,这里前后都不超过10分钟。截图里的发表时间却变成4天前。

    如果这是正常的,故意机制,那我也理解了,那我以后少发贴子。
    但要是 BUG 的话,那我希望更多人知道。
    只是确认一下。
    chinassl
        24
    chinassl  
       2015-07-24 16:08:28 +08:00
    国外的系统大多是允许特殊字符,国内大好多不可以
    wy315700
        25
    wy315700  
       2015-07-24 16:10:35 +08:00
    @iqav

    每个ID有权重的
    7654
        26
    7654  
       2015-07-24 16:22:11 +08:00
    某一个神奇的网站我怀疑是明文存储的密码,因为我的密码里有它后来禁止的字符(查看JS得知)
    每次登录后都提示我帐号密码安全性过低,让我改密码
    那串密码有大小写字母数字和特殊符号,所以不存在安全性底,在其他地方没有出现过相同密码
    给出那串提示,要么被脱过库要么明文存储
    leavic
        27
    leavic  
       2015-07-24 17:22:12 +08:00
    防止注入?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1107 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:41 · PVG 02:41 · LAX 10:41 · JFK 13:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.