本帖最后由 YZBoo 于 2016-7-19 20:46 编辑 刚刚说了 体验了下新增的几个功能,密码大师也体验了一下,然后真的有点不敢用密码大师了,安全好像考虑的不是十分好 虽说提高体验的同时必然会降低安全性,但密码这东西... 验证登陆密码就可以查看明文密码....明文密码!!! 好吧,服务端存储明文密码,你存就存了 反正大家都是这么做的 但起码安全要做好吧? 你们肯定知道 很多用户的密码在不同的网站都是相同的... 如果通过装库的方式成功登陆傲游账户【既然是撞库,攻击者手中肯定有明文密码】打开密码大师,输入傲游账户密码,那么这个用户在所有网站的所有明文密码都可以被看到!! 为什么没有二次验证!这么敏感的操作!!哦 你说打开密码大师再输一次密码就是二次验证?如果有人拿到傲游账户的明文密码呢! 那么这个用户其他重要网站设置的其他不同的密码也没用了 只要撞库拿到傲游账户密码 就能拿到我的一切密码... 至少想某豹那样设置个手势啊 至少添加个短信验证码验证啊!!! 你们只要傲游账户密码!!! |
这个问题我也发现了 只要得到了傲游账户 那里面记录的别的密码基本上都是赤裸裸的。 再次想起前14年傲游内网被白帽黑客轻松攻入拿到了大量账户,就很吓人 |
admin 发表于 2016-7-20 17:38 可是他们怎么说?盼复.. |
這其實跟智能表單一個道理,你願意用智能表單,爲何就不願意用密碼大師?智能表單那裏也是用傲遊帳號存的啊,密碼大師所做的,僅僅是簡化了智能填表,再強化一下自動生成強密碼。 |
而根據官方介紹,雲端已經用AES算法加密,貌似還是二次加密。要擔心也應該想,這個加密所依據的key是什麼,因爲傲遊要解密也是靠這個key。可能是用戶名+特定組合,反正不會是靠用戶密碼,要是用戶忘記密碼重置了,密碼大師就廢了。 說難聽的,只要內部員工願意,就能解密,(以上純屬猜測) 所以呢,也不用擔心那麼多,涉及錢的,就別通過這種省事的手段,老老實實用腦子記幾個強密碼 |