很多人在密码出错的时候,会尝试自己的其他密码、用户名组合,如果捕捉了每一次的尝试,那就很大可能掌握了改提交用户的所有关键密码。
1
NeverBehave 2015-10-17 11:39:18 +08:00
表示我这种经常多个密码试的人很担心 QWQ 。但是已知只有后台 admin 登录的时候错误会有日志(见过一社工就是用这个方法猜的,因为拿不到 webshell 却看到了错误密码日志的数据库,于是成功进入后台)
|
2
7z7 2015-10-17 11:45:25 +08:00
大公司估计也会存储,只是没让你知道罢了.
|
3
qinxi 2015-10-17 11:53:05 +08:00
醍醐灌顶
|
4
timsims 2015-10-17 11:55:21 +08:00
如果那些公司真的有心想获取你密码的话就直接明文储存了(或者不明文但可逆),反正大部分人都是一套账号密码
|
5
virusdefender 2015-10-17 11:59:30 +08:00
我知道的几个公司至少会记录每天错误的次数,具体内容就不知道记不记录了。。
|
6
luoway 2015-10-17 12:08:42 +08:00 via Android
这个我在 DZ 论坛后台上看见了。 DZ 捕获了错误提交并明文显示。
|
7
aivier 2015-10-17 13:02:46 +08:00
很多地方都会这样做,但是如果用户是在用户名上多按了个空格,密码后面多按了个逗号呢?
个人感觉以不记录的方式做大数据分析来避免被爆破并提醒用户修改是好事,但是明文记录就有点过分了 |
12
siteshen 2015-10-17 18:38:11 +08:00
所以我厂现在的 app 都抛弃了密码登录的方案,包括后台管理界面,直接手机号+验证码登录。
|
13
pythonee 2015-10-18 08:11:44 +08:00
我也想到过这个问题
|