论坛密码增加提醒:大写、小写、数字三者缺一不可
发现很多坛友经常说密码输入总不正确。 后来我们才发现, 基本上都是忘记了大小写。我特意上技术人员,在论坛的密码输入增加文字提示: 密码必须:由大写、小写、数字组成,三者缺一不可!
电脑版的登录有两个地方:
手机版也加上:
能知道是大小写出错,难道论坛密码是明文保存??? 本帖最后由 Himem 于 2020-7-16 18:19 编辑
dreampet 发表于 2020-7-16 18:14
能知道是大小写出错,难道论坛密码是明文保存???
登录时发送的表单是明文,discuz数据库里一般是加盐的md5,验证失败时记录日志
看日志里每个人重试密码的方式时应该很明显察觉大小写问题 Himem 发表于 2020-7-16 18:16
验证时发送的表单是明文,discuz数据库里一般是加盐的md5,错误时记录日志 ...
Discuz默认是二次MD5校验,登录时,发送明文密码的MD5,除非人为修改,否则不会发送明文 本帖最后由 Himem 于 2020-7-16 18:30 编辑
dreampet 发表于 2020-7-16 18:21
Discuz默认是二次MD5校验,登录时,发送明文密码的MD5,除非人为修改,否则不会发送明文 ...
这是后台里可选的功能,开了之后就没弱密码登录锁定了,
目前已全站ssl,前端的这个md5保护可有可无
再说退出重新登录,控制台看看登录时post的是什么不很明显嘛{:lol:} dreampet 发表于 2020-7-16 18:14
能知道是大小写出错,难道论坛密码是明文保存???
是用户发誓说没有记错密码,而我们查看用户状态,却发现是正常的。
只能要求用户提供密码给度都是小写我们测试。一看密码都是小写的我们就笑了:用户肯定记错了。
这种故事发生了很多次,就可以知道这绝不是个别事件。 Himem 发表于 2020-7-16 18:24
这是后台里可选的功能,开了之后就没弱密码登录锁定了,
目前已全站ssl,前端的这个md5保护可有可无
看来你很熟悉discuz。
后台有一个“密码加密传输开关”,打开了传输过程加密,我们论坛服务器也无法判断客户输入的是否弱密码。作用是防止数据被拦截。
但我们论坛目前已经启用较高等级的https,理论上无法被拦截。所以这个开关是否打开对安全性没有影响。
为了监测用户是否使用了不符合规范的弱密码,我们可以关闭上面的“密码加密传输”功能。
这样就可以及时纠正客户输入的密码不符合要求的问题。
按照概率论只要密码足够长, 纯数字的密码强度应该也可以的
大小写数字的9位密码, 和纯数字的16位密码强度相当,
13,537,086,546,263,552
10,000,000,000,000,000 dreampet 发表于 2020-7-16 18:14
能知道是大小写出错,难道论坛密码是明文保存???
论坛所有人的密码都必须至少包含大小写。 最安全的方式是無需密碼,用戶登錄時,發一個驗證連接到用戶郵箱,打開連接後,保存一個 session id 到瀏覽器,然後就可以正常瀏覽。用戶登錄時可以選擇 session ID 保存多久。
页:
[1]