V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
leoleoasd
V2EX  ›  问与答

为什么修改密码要有"不能是最近用过的密码"这一设定?

  •  1
     
  •   leoleoasd · 2019-01-06 23:55:48 +08:00 · 4426 次点击
    这是一个创建于 2151 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题 前一段要把 qq 密码给别人 就改了个临时的

    今天要改回去的时候不让改成和原来一样的了

    18 条回复    2019-01-07 10:26:55 +08:00
    ysc3839
        1
    ysc3839  
       2019-01-07 00:00:00 +08:00
    大概是用来限制帐号被封后修改密码解除封禁的?这种封号一般是怀疑你被盗号了才做出违规行为,给你一次机会,不直接封禁。
    crab
        2
    crab  
       2019-01-07 00:04:21 +08:00
    安全措施啊。比如保存了旧密码的设备丢失,你在新设备设置的新密码不会在指定次数内容重复。
    一定要用原来密码可以临时修改几十次不同密码,再修改回去原来,毕竟这个再怎么记录也不可能无限制吧。
    XOXO360
        3
    XOXO360  
       2019-01-07 00:06:25 +08:00 via iPhone
    你改完之后再改就可以改回去,美曰其名是安全性,其实就是防你账号共享……然后机器学习下记得密码规则。
    dingwen07
        4
    dingwen07  
       2019-01-07 00:38:51 +08:00 via Android
    @XOXO360 QQ 之类会存明文密码吗?
    LanFomalhaut
        5
    LanFomalhaut  
       2019-01-07 00:45:06 +08:00
    @dingwen07 加密后对比..
    XOXO360
        6
    XOXO360  
       2019-01-07 01:28:05 +08:00 via iPhone
    @dingwen07 这个东西肯定是多份的,日志里总是明文吧,然后大数据直接解析日志,应该说不同级别的数据库吧,业务数据库校验的是加密对比,但是点到点之间的数据流中呢,所以说最多一般人,或者拖库拖不到,某些不可描述离线数据库里就是明文。自己应该有判断吧
    niuqiang139
        7
    niuqiang139  
       2019-01-07 01:38:55 +08:00 via Android
    好多网站都这样,要记好几个密码,感觉确实不方便
    Moorj
        8
    Moorj  
       2019-01-07 02:05:17 +08:00
    还不是产品经理拍脑门决定的
    chinvo
        9
    chinvo  
       2019-01-07 03:19:22 +08:00
    确实是安全性着想

    一般你想改密码是因为前一个密码泄露了之类的情况,所以不许你使用近期用过的密码

    @XOXO360

    #3 微软和 Google 也不许使用近期用过的密码,也是防止你共享账号咯?

    #6 为什么你们都认为日志里面会有明文密码……

    之前支持前端 hash 的那个莫名其妙的帖子里的论据也是这个

    难道你们都是服务器收到啥就原样 log 啥的么?
    ghostheaven
        10
    ghostheaven  
       2019-01-07 04:54:07 +08:00 via Android
    原来公司笔记本的 windows 域密码要求几个月必须更换,不能跟过去几次重复。如果没有这个不能重复的限制,到改密码的时候肯定很多人就两个密码交换用了。
    hanqian
        11
    hanqian  
       2019-01-07 06:01:43 +08:00
    更烦的设定是“不允许使用与最近用过的密码相似的密码”
    f2ck
        12
    f2ck  
       2019-01-07 07:06:52 +08:00 via iPhone
    @XOXO360 机器学习?这么叼。
    lucifer9
        13
    lucifer9  
       2019-01-07 07:43:56 +08:00   ❤️ 1
    想用政策挑战人的惰性的尝试最终必然以失败告终
    前公司绝大部分被 Windows 要求每月改密码的
    最后都是常用密码+月份
    后来有人做了规则来识别这种
    于是大家改成了月份+常用密码...
    yidinghe
        14
    yidinghe  
       2019-01-07 07:57:48 +08:00 via Android
    旧密码可能是被盗的密码,怕被人试出来
    yuikns
        15
    yuikns  
       2019-01-07 08:55:02 +08:00
    @lucifer9 “做了规则来识别这种” 这个规则是不是涉及到了明文密码了啊?

    想了好一会儿。要是不知道明文,那么模式好难识别啊。要是知道,那么直接算个 edit distance 就行。但是这个变成为了政策更加不安全了。
    yuikns
        16
    yuikns  
       2019-01-07 08:58:25 +08:00
    我觉得有个规则挺简单好用的。就是两次修改的密码间隔不得低于 N 小时。要是有人非要执着于某个密码,那么就要花费超过 1 天时间去搞这个。
    那么你想偷这个懒,那就不能偷那个懒。
    lucifer9
        17
    lucifer9  
       2019-01-07 10:20:04 +08:00
    @yuikns #15 如果你是说 Windows 的话,有个选项 “ Store passwords using reversible encryption ”,出于业务要求有时候必须打开。然后就可以各种骚操作。如果是说 LDAP 之类,正常思路是让前端在改密码的页面里面写好 validator。
    loveour
        18
    loveour  
       2019-01-07 10:26:55 +08:00   ❤️ 1
    @lucifer9 #13 +1.其实已经有研究说明这些强行要求改密码的行为,最终只会导致密码越来越简单越来越有规律。所以现在都不再要求强行改密码了,而是采用二次验证,生物信息识别之类的措施保证安全。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4661 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:35 · PVG 13:35 · LAX 21:35 · JFK 00:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.