【公告】等下准备升级 CNode 的密码系统,有各种悲剧的可能
发布于 10 年前 作者 alsotang 7194 次浏览 最后一次编辑是 8 年前 来自 分享

现在论坛的密码系统只是用了最简单的 md5 哈希,别说随机 salt 了,连 salt 都没有。 我不能在骂 CSDN 傻逼的时候自己也默默傻逼着… @fengmk2 苏大大的密码直接能反解出来… 所以我准备升到 bcrypt 去。于是需要更新数据库中所有用户的密码。有可能造成悲剧。。。不过我会尽量通过备份数据库等手段来预防的。

---- 更新 ---- 我想好了,我升级代码部分就好了,用户数据库我不动了,怕风险大。这样会导致所有用户都无法通过之前的密码登陆,请各位重新设置密码吧。

---- 2014-10-01 01:02 更新 ---- 代码已更新完毕,各位如果登陆有问题,就重置一下密码吧。

45 回复

bcrypt 好。我的系统是md5 + salt, 也准备更新到 bcrypt + salt。

@leapon bcrypt 自己会处理 salt。

那现在是怎么样啊?要重新设置密码吗?

@borisyu 还没更新,等等。

@borisyu 更新好了

呃, 我都忘记密码了… 我每次都是github登录…

Q: How To Safely Store A Password? A: Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt. Use bcrypt.

@suqian 没事。。你那六位数密码已经被埋在历史长河了。可以试试 lastpass 这个 chrome 插件。

因为这个hash算法超慢… 所以…

返回的 hash 里面应该包含了 salt 信息, 要不然没法对比

@suqian 对的,它自动处理了 salt

@suqian 否则也是要自己创建随机 salt 的,麻烦死。

重置密码后顺利登入,管理员辛苦了。

@alsotang 哈哈,github表示无压力登录,管理员辛苦啦!都国庆了还在更新

管理员辛苦了,重设密码正常登陆了,祝各位国庆节快乐。。。

@bnuhero @deDevinXian @wangxuq @tolerious 程序员的国庆就是这样过的,各位如果有计算机在校生的话,望回头是岸…

登录失败,重设密码后成功登录.现在cnode管理的不错哦

求顺便把我的用户名update为nosqldb @alsotang

@alsotang 这样过国庆,还是很幸福的。。。

密码重设成功 :)

github登录无压力…

@alsotang 回不去了,踏入了江湖就再也回不去了,出来混,早晚要还的.

@fengmk2 绑定了 github 之后,用户名就从 github 同步过来了…

@alsotang 这是一个单行道道啊。。。

那个,有个小想法,就是在MD5给出的加密结果后再加一个特别的后缀,比如根据昵称自己设计一个算法,如行列式什么的,然后将结果插在md5的结果里, 由于插入的东西不符合常规逻辑,是否也可以提高账户的安全系数呢? :D

@yyrdl 能提高,但离 bcrypt 还是差太多。你说的这个方式就是简单的 salt。

登录进来了,密码重置了~邮件有点小慢

没注意过密码,我以为我是通过github登录的…

@alsotang topic.author.avatar_url如何修改为https呀。我现在网站是用了https,如果头像不也用https的话,浏览器会显示黄色的https。谢谢你

@mscrm 头像我也用了 https 的啊,你说的具体是哪个页面我可以去看看吗?

@alsotang 所有显示gravatar图片的地方,都不是用了https。例如https://www.junduo.com/ 首页。topic左侧作者头像。右侧sidebar里也有头像也是非https。麻烦你了。

@mscrm 更新代码

已经悲剧了。。。我重置了

另外,邮箱改不了了么?

刚刚悲剧过了,过来报个到……

@sunfang1cn 我后台帮你改改?

重置了,才进来哦~ 各位节日快乐~

@leizongmin github 登陆不受影响的…

果然要重置了。。。。

我重置密码了

回到顶部