现在论坛的密码系统只是用了最简单的 md5 哈希,别说随机 salt 了,连 salt 都没有。 我不能在骂 CSDN 傻逼的时候自己也默默傻逼着… @fengmk2 苏大大的密码直接能反解出来… 所以我准备升到 bcrypt 去。于是需要更新数据库中所有用户的密码。有可能造成悲剧。。。不过我会尽量通过备份数据库等手段来预防的。
---- 更新 ---- 我想好了,我升级代码部分就好了,用户数据库我不动了,怕风险大。这样会导致所有用户都无法通过之前的密码登陆,请各位重新设置密码吧。
---- 2014-10-01 01:02 更新 ---- 代码已更新完毕,各位如果登陆有问题,就重置一下密码吧。
bcrypt 好。我的系统是md5 + salt, 也准备更新到 bcrypt + salt。
@leapon bcrypt 自己会处理 salt。
那现在是怎么样啊?要重新设置密码吗?
@borisyu 还没更新,等等。
@borisyu 更新好了
呃, 我都忘记密码了… 我每次都是github登录…
Q: How To Safely Store A Password? A: Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt.
@suqian 没事。。你那六位数密码已经被埋在历史长河了。可以试试 lastpass 这个 chrome 插件。
@suqian 对的
因为这个hash算法超慢… 所以…
返回的 hash 里面应该包含了 salt 信息, 要不然没法对比
@suqian 对的,它自动处理了 salt
@suqian 否则也是要自己创建随机 salt 的,麻烦死。
重置密码后顺利登入,管理员辛苦了。
@alsotang 哈哈,github表示无压力登录,管理员辛苦啦!都国庆了还在更新
管理员辛苦了,重设密码正常登陆了,祝各位国庆节快乐。。。
抠鼻
@bnuhero @deDevinXian @wangxuq @tolerious 程序员的国庆就是这样过的,各位如果有计算机在校生的话,望回头是岸…
登录失败,重设密码后成功登录.现在cnode管理的不错哦
求顺便把我的用户名update为nosqldb @alsotang
@alsotang 这样过国庆,还是很幸福的。。。
密码重设成功 :)
github登录无压力…
@alsotang 回不去了,踏入了江湖就再也回不去了,出来混,早晚要还的.
呃… @suqian 不存在了… https://cnodejs.org/user/suqian @alsotang 这是搞什么?
@fengmk2 绑定了 github 之后,用户名就从 github 同步过来了…
@alsotang 这是一个单行道道啊。。。
那个,有个小想法,就是在MD5给出的加密结果后再加一个特别的后缀,比如根据昵称自己设计一个算法,如行列式什么的,然后将结果插在md5的结果里, 由于插入的东西不符合常规逻辑,是否也可以提高账户的安全系数呢? :D
@yyrdl 能提高,但离 bcrypt 还是差太多。你说的这个方式就是简单的 salt。
登录进来了,密码重置了~邮件有点小慢
没注意过密码,我以为我是通过github登录的…
@alsotang topic.author.avatar_url如何修改为https呀。我现在网站是用了https,如果头像不也用https的话,浏览器会显示黄色的https。谢谢你
@mscrm 头像我也用了 https 的啊,你说的具体是哪个页面我可以去看看吗?
@alsotang 所有显示gravatar图片的地方,都不是用了https。例如https://www.junduo.com/ 首页。topic左侧作者头像。右侧sidebar里也有头像也是非https。麻烦你了。
@mscrm 更新代码
已经悲剧了。。。我重置了
另外,邮箱改不了了么?
刚刚悲剧过了,过来报个到……
@sunfang1cn 我后台帮你改改?
重置了,才进来哦~ 各位节日快乐~
@leizongmin github 登陆不受影响的…
果然要重置了。。。。
好坑爹
我重置密码了