上次登录XX邮箱,被告知我的邮箱密码与其他账号存在着相同的密码,要求我更改。
提示如下:我们发现你在XX邮箱的账号密码与其他网站被盗账号密码一致 请立即更改密码。
我就改了,然而第2天居然忘记了前天改的密码。然后再次准备修改,熟悉XX邮箱修改密码的同学知道有手机绑定等几种方法,因为我没用办理其他业务,只能使用密保问题来修改密码,然而使用密保问题修改却又被告知:您在最近7日内曾经登录过XX邮箱,暂时不能通过“密保问题”方式找回密码!
从字面意思来看,让我觉得有二义性:他这里说的登陆过是指登录成功了算一次,还是指我已登录而不管成功不成功都算登录过一次??这个太变态了!!那好吧,我就都等了一个星期,再使用密码修改密码。。还是这样。。。不知道是不是登录而不管成功不成功都算登录过一次。
回头想想,其一、上次因为XX邮箱报我的密码和其他邮箱密码重复(XX邮箱会检测其他邮箱(如网易)的同名邮箱(后面的术语表会解释什么是同名邮箱)是否与自己有相同的密码),而告知我需要修改密码,我改了密码之后,记得是那个密码啊,实际上却老是不对。。。头痛?应该是我忘记了。告诉你一个小秘密,现在邮箱开放了外部登录接口,破解邮箱密码比以前容易多了。。。就像使用暴力破解破解Word文档密码一样(简单密码很容易被破解)。
其二、从技术上将,XX邮箱会检测其他邮箱(如网易)的同名邮箱或账号是否与XX邮箱有相同的密码,必须有一个条件,1、XX邮箱直接或者间接保存了用户的明文密码。其中因为这样他才得以检测出是否与其他账号有相同密码(不知道有木有更高明的手短)。。。。
分析下我上面说的其二的情况:一般网站的保存密码的形式是通过某种算法将用户的明文密码加密成一种不可逆转的密文,以后用户登录比对密码只需要再次加密客户端输入的密码的加密后的密文与存储的密文密码是否匹配即可。如果网站没有存储明文密码而只存储密文密码,那么其最起码的检测其他邮箱账号所需要的基础条件就没了(密文密码不可逆)。如果觉得文字拗口,下面的图体现了我的想法:
当然,危机感加重的进入,这只我的愚钝猜测,其实技术上完全可以以更简单的技术检测与其他账号是否存在相同的密码!考虑这个问题就得考虑明文密码如何得到。。。可以在用户登录时(登录时用户提供了明文密码在网络传输是通过可逆的加密算法加密的,而非密码加密之后比对时)获得明文密码(或者间接明文密码(可逆的加密算法))进行同名邮箱进行(所谓同名邮箱前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,其中aa和bb代表不同的邮箱服务)比对,这种方式更可取。
希望使用我最后谈及的方式达到的目的,而非第一种方式。。。人品自在人心,技术各有千秋,想整倒弱势群体方法千千万万,欲完善服务机制任重道远
术语表:
同名邮箱:邮箱名前缀相同,如xiaobaitu@aa.com和xiaobaitu@bb.com,代表服务公司不同的后缀不同,其中aa.com和bb.com代表不同的邮箱服务。
XX邮箱:某知名邮箱
间接明文:通过某种手短能可逆的获得明文的密文。