发现智联招聘登陆时密码不区分大小写！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2889 天前的主题，其中的信息可能已经有所发展或是发生改变。

前阵子投简历发现这平台找互联网相关的工作效果不大了，各种不相关的公司回电，想想把资料修改掉，我的密码全小写，登陆时开启大写竟然登陆进去了，反复试了几次不同大小写方式的密码都登陆进去了...

大小写

密码

登陆

进去

19 条回复 • 2016-12-27 13:29:59 +08:00

pheyer

2016-12-27 11:31:56 +08:00

我之前呆的一家公司账号登录时，正确密码后面加上合法字符串都可以登录成功，不做这一块的不知道为啥

R09PR0xF

2016-12-27 11:38:34 +08:00

@pheyer 太可怕了...

luban

2016-12-27 11:45:59 +08:00

可能做了转换大小写
以前微软邮箱还是哪个密码 16 位最多，微软只保存 13 位，就是只截取前 13 位，所以后面怎么输都不管你

SpicyCat

2016-12-27 11:50:38 +08:00

@pheyer
我估计是密码有长度上限，但是在登陆的时候没有限制用户能输入多少字符，而服务器收到密码后直接截取密码长度上限，然后 hash 跟数据库校验，所以你在密码后面加字符也能通过。

@R09PR0xF
这个肯定是存入数据库之前就全部变成大写或者小写了。

这样做的理由嘛，方便用户？

Aliencn

2016-12-27 11:58:34 +08:00

没准自动给你转换成第一个大写第二个小写第三个大写第三个小写的格式，也算是一种加盐的方式吧

uzumaki

2016-12-27 12:07:52 +08:00 via Android

@R09PR0xF 受众群体庞大，有些人注册都不会，你还想让他记密码大小写。。。

besto

2016-12-27 12:12:09 +08:00

密码保存的方式至少是 MD5 转换后，比对是否匹配。任何能看到密码本身的设计都应被定义成严重 BUG

xdz0611

2016-12-27 12:17:21 +08:00

这要不是明文存储密码都没有人相信吧...

soli

2016-12-27 12:22:52 +08:00

@pheyer 感觉这可以作为一个特性而非八哥哈。

每次都输入不同的密码，防止别人偷看你输入密码。

lhbc

2016-12-27 12:35:14 +08:00 via iPhone

@soli 偷哪一次不是偷？

R09PR0xF

2016-12-27 12:37:15 +08:00

@luban 用户容易么还得多记三位密码...
@SpicyCat
@Aliencn 没发现之前没感觉，发现之后就两种感觉，害我每次输入还得关闭大写和这网站不安全...
@uzumaki = =#

如果自动转换了大小写那撞库的几率会不会大很多？

cccssss

2016-12-27 12:38:29 +08:00

@xdz0611 自动转换大小写而已，大惊小怪。我打赌不是明文，要赌一把吗？

Perry

2016-12-27 12:43:19 +08:00 via iPhone

@xdz0611 注册时密码统一大小写之后再 hash 存进去不就是了么

pheyer

2016-12-27 12:46:50 +08:00

@soli 觉得不至于吧

mooncakejs

2016-12-27 12:53:50 +08:00

@R09PR0xF
@pheyer 这个在门禁之类安防中很常见，防止偷窥或者从键盘中恢复密码。如果是安全类的，很可能这么做。

pheyer

2016-12-27 12:57:01 +08:00

@mooncakejs 防止偷窥有可能，从键盘中恢复密码没得办法吧

mooncakejs

2016-12-27 12:59:57 +08:00

@pheyer 如果只有 6 位密码，看键盘磨损就行了，多按几个就看不出来了。

chanssl

2016-12-27 13:19:58 +08:00 via Android

暴雪战网也是不分大小写。

xudzhang

2016-12-27 13:29:59 +08:00

以前用过智联，不知为什么，觉得很难用……