無名小站強制換密碼之不負責任猜測

噗... 你們還有出現 email 可以認證,我的帳號是完全沒有 email 可以認證... XD (反正我看開了,DarkKiller 這個帳號上面也沒東西,裡面的圖當初都有丟 ,隨便啦...)

(說到 ,好像跟某站同一家... 我還是找個時間也順便丟 好了 XD)

Anyway,對於換密碼這件事情我有兩個猜測:

  • 第一個猜測是,終於發現資料庫被撈走了,不過我覺得不是這個原因,這件事情六個人裡面有腦袋的那個早在被 買之前就知道了。(很久前就當面說過了)
  • 第二個猜測是,以前是用 CRYPT() 或 MD5() 或類似的 one-way hash function 放在資料庫,表面上是強迫使用者換密碼,其實是要撈 plaintext password,準備整合進 的認證系統。

為什麼我會猜第二個?因為我在 系統上也幹過類似的事情啊,當年想要直接使用 帳號的 802.1X 就是卡在沒有 plaintext password 沒辦法做,商業站台有 plaintext password 問題少很多啊。

至於故意要雙證件,只是讓非 VIP 使用者覺得很麻煩而不會想要送而已。

PS:剛好看到 無名的部落客,你們到底還要超幹+黑特多久? 這篇,我笑出來了 XD

This entry was posted in Blog, Computer, Computer and Network Center, Murmuring, NCTU, Network, Security. Bookmark the permalink.

22 Responses to 無名小站強制換密碼之不負責任猜測

  1. vicjuan says:

    想不到連我這位無名小站古董級住戶也無法顯示出e-mail
    我以為我只是個案
    原來gslin大大也碰到這情況了啊

    看來只好直接丟學弟msn去幹醮了 :P

  2. DearHoney says:

    我覺得要撈 plaintext password 然後存放到 Yahoo 還真的蠻有可能的,但如果真是這樣,其實應該不用搞這麼複雜呀!不就是不管大家的 cookie 狀況,強迫從昨天某個時刻開始都要重新輸入一次帳號密碼,就可以撈到了嗎?這樣低調又不會惹人注目呀!

  3. Gea-Suan Lin says:

    這樣舊帳號不能砍掉啊... 現在這樣搞到時候可以拿「安全」當理由砍舊帳號 XD

  4. vv says:

    well,

    yahoo 的使用者資料庫裡面, 存的也不是 plain text password 就是..

  5. DearHoney says:

    應該說,撈到 plaintext password 才能按照 Yahoo 的編碼方式存入資料庫。

  6. vv says:

    yahoo 的資料庫, 其實存的就是 md5 過的密碼而已...

  7. iang says:

    沒有email出現+1 XD....

  8. vv says:

    答案是第幾個我不知道,

    我要說得是, yahoo 的使用者資料庫, 也不是存 user plaintext password, 也不會去存使用者的 plaintext password.

    w 社幾個愛亂搞, 我管不著, 但是亂猜, 而且我知道那是錯的東西, 就不要繼續講了吧...

  9. Pingback: [書籤] 2007.07.05 « Angie Said

  10. smartwen says:

    猜測是第二個

  11. Pingback: Blog.XDite.net » 變更密碼是為了提升密碼安全性?

  12. Pingback: AntiWretch ::PIXNET BLOG::

  13. Pingback: AntiWretch ::PIXNET BLOG::

  14. Pingback: [記錄]無名小站要求用戶更新密碼,然後客服可以幫忙登入?-酷玩意部落格(sharecool.org)

  15. Roy says:

    個人認為是第三個可能:丁丁大站要的是各用戶的雙證 XD
    要是第二個可能的話只要刪掉所有session再在登入時做手腳就可以無聲無息拿到plain text password了

  16. roga says:

    有名大站的邏輯就是這樣讓人搞不清楚..

    我完全想不出來這麼做好處是什麼..徒增他們的使用者困擾罷了..唉

  17. Andy199113 says:

    以下是我嘗試的結果

    如果信箱是:
    1.GMAIL應該是自動被轉至垃圾廣告區裡!
    2.MSN就直接被砍掉
    3.是YAHOO信箱的話,果不其然不到0.5秒時間,馬上就有信了(真是過份阿...應該也算資料庫自動整合了巴(如果有無名+YAHOO信箱的話)

    真不知道他們在幹麻!在這之後,不知道是不是這原因,我的及時通帳號,常會多出一些怪咖(外國白目 哪國都有...各國文字都看的到)
    可能真的把帳號賣給廣告公司巴,賺取利潤....可惡>_<(純粹猜測)

  18. Q says:

    個人的猜測是他們是想確定到底真正有多少使用者

    據說搞出這個風波的理由是, 為了換成SSL和要求更換密碼, 因此要使用者重新認證
    而前者, 用不用SSL和使用者的密碼, 或使用者是不是真的是這個人, 一點關係也沒有
    至於後者, 只要某次登錄的時候, 隨便找個藉口, 強迫使用者更換密碼, 無論是想借機拿到 plaintext, 還是真的為了加強密碼強度, 都可以做的到, 除非是密碼檔從資料庫被盜走, 不得不全面更換密碼, 否則似乎沒必要如此大動干戈
    而用 email 認證, 對確認使用者身份的效用, 根本就是不切實際, 拿來宣示說我們不是沒有認證, 藉以減輕責任的效果, 還比真正的用處要大的多, 所以, 一樣找個藉口在某次登錄的時候要你重新認證即可
    還有一個可能是, 為了整合進 yahoo 的系統, 但為了減少成本, 而不想等使用者慢慢改密碼, 可是這種公司買來買去的事, 在國外根本是再平常不過的事, 而且使用者才是入門網站真正競爭的東西, 除非原本的系統有重大問題, 很難整合進新系統, 否則這等於是跟自己的錢過不去

    所以, 為什麼 yahoo 會不惜趕走生財的使用者, 也要大動干戈呢?
    說穿了, Blog 哪有什麼了不起的技術可言? yahoo 會買完全是看上使用者的數目, 因此, 有可能 yahoo 察覺真正 active 的使用者遠不如購併當初所說的數字, 而這個數字很能是真正價碼的關鍵, 所以必須搞清楚

  19. Pingback: 放棄無名小站 « Heresy's Space

  20. Pingback: 无名小站强制用户更改密码,是因为之前密码被盗? | IT档案馆

  21. Pingback: 無名小站的雙證件認證風波 | 終極邊疆 BLOG

Leave a Reply

Your email address will not be published. Required fields are marked *