迅雷安全中心是否太过于牛叉，竟然可以用旧密码更改密码。。。。

我碰到过密码修改了其中一个字母提醒我和旧密码太相似的，我似乎明白了什么！

@loading 所以说别用常用密码→_→

可以用旧密码更改密码必须是坑爹的,但是新密码和旧密码相似不给用是很正常的做法,我们公司是存过去的六个密码.

@loading 一般hash算法要求改变其中一个字节使结果产生巨大的变化，故可反推：两次hash结果差异巨大->你的改动太小。恩，他们的程序员一定是这样做的。

@andrewpsy 明文吗。

一般hash算法要求改变其中一个字节(也会)使结果产生巨大的变化
漏了两个字。。。瞬间笑果就差了劲了。。。

@zhujinliang 神逻辑！

@andrewpsy 敢问贵公司是？我要使用你们的产品，太人性化了！

所以那些csdn明文密码泄露什么的，实际上肯定是有一个字段存放散列过的密码，其他的保存有明文的。呸，怎么能这样。

@Mutoo
@loading
记忆模糊了,张口就胡说了.抱歉.去年夏天刚毕业加入公司的时候不知道我老板哪根筋搭错了让我同时在两个组工作,借用我的那个组当时在搞全公司平台的single sign on(SSO),我当时被分配到了user authentication和authorization相关的后台代码任务.给那个组干了一阵子发现不喜欢他们的老板我尝试渐渐疏远他们,最后利用一个机会莫名其妙的完全脱身了.实时证明我预感还是不错的:1.我自己组的老板人非常好,团队气氛很和谐 2.以前一起战斗过的那个组的小伙伴们跟我抱怨过他们PM提出的要求 3.我在自己组100%投入工作一阵子后两次评审都是优秀(涨工资发奖金),如果继续脚踏两只船估计两边都干不很好.
为了回答你俩的疑问我翻看了当时的邮件找到了dev数据库登陆上去看了看,还找到了密码相关的要求(懒,代码没看),我们公司对旧密码的要求其实是不能使用过去用过的12个密码,对新密码和旧密码的相似度没有要求.
https://www.dropbox.com/s/xb2sm1tn0gz8iwp/Screen%20Shot%202013-12-26%20at%2021.07.31.png

@loading 我们的产品不是面向普通消费者的.

@andrewpsy 如果能够判断密码相似度，那说明是明文存储或者是可逆加密。。。。不过不让用过去用过的密码是很正常的

@66450146　是啊，我回完贴后越想越不对，明明记得有hash和salt的啊，所以查了半天老的邮件才找到那个组的开发数据库服务器去验证一下，也翻出了那个项目对密码的要求没找到相似度项目。

@andrewpsy 你这图赶紧删了吧，算泄密了。

@Mutoo 开发数据库的伪数据其实无所谓，但还是删了吧。

@loading 话说一般修改密码的时候不是要求输入一次旧密码然后输入两次新密码的么？这样不就可以直接判断相似度了么？

@lizheming 忘记密码reset的时候是不需要输入旧密码的

@lizheming 上面讨论的问题关键在于不仅仅是最后一次的密码。。。

都没申诉过QQ?

腾讯会要你输入几个以前用过的密码的...

人工申诉baidu也是，让你输密码，旁边还专门提示，记不清也没关系，客服会根据是否相似判断

@lizheming 忘了说明了，我那次是忘记密码后的邮件Reset，不然我就不拿出来说事了。

@yangqi @lanbing @loading 额，我只看到loading说修改密码嘛..没看到Reset..所以就问了问..

大家有没有想过用密码中单字进行加密然后进行相似度比较的情况？当然我不是说有哪个公司在这么做

gmail修改密码也是不能修改上次使用的密码

储存以前的旧密码和明文储存密码似乎是两码事吧，就算以加密形式存了你100个以前用过的密码，也无所谓吧。
我倒是觉得这样的方式还是挺人性化的，反而有些公司存了明文密码之后滥用，还不承认的，就很令人恶心了（我遇到过）

把密码掐掉一个字符记录下来n-1个hash就能实现相似度不超过1个字符的检测了，当然密码太长的话只能少存几个就是了

@ETiV 他们讨论的是：如果没有输入旧密码的话，怎么知道新旧密码相似度？所以推出网站是明文存储的密码。
你的疑问可以这样解释：虽然不能看到相似度，但是使用同样加密方式再次加密输入的密码，是可以直接对比和数据库中存储的旧密码的加密后值的，严格相等。