WooYun Zone镜像——在申诉中猜想QQ密码可能明文储存,讨论腾讯申诉“历史密码”机制

admin 2020-7-7 1305

在申诉中猜想QQ密码可能明文储存

数据流 (95后小帅哥) | 2013-09-10 17:37

早上在zone已告知大家我QQ被恶意者申诉成功重置了所有信息

目前我申诉5次皆失败

在申诉过程中发现QQ密码有可能作备份明文储存在其他地方

“为了帮助我们确定您是号码的主人,请尽量回忆以下资料,不确定的也可填写 ”

腾讯一直保存着你的历史密码 但他说 不确定也可填写

也就是说我的一个历史密码是 cnm123456 而我所回忆到的密码是cnm12345 也能帮助申诉

那就表明审核人员需要用明文的历史密码跟你所填写的不确定的密码来进行对比

因为需要进行对比 只能用明文跟明文进行判断

这样的话密文就对比不鸟了 所以我认为QQ密码明文储存着在其他地方!

当然可能有我不知道的技术可以实现 也请各位科普下

是对比相似度 而不是对比跟原密码符不符合

举个例子

12345 md5>ea8a706c4c34a168

123456 md5>49ba59abbe56e057

ea8a706c4c34a168 49ba59abbe56e057

从密文上你能看出原明文的相似度?

怎么这么多人没理解....- -

[原文地址]

相关讨论:

1#

小胖子 (爱上一匹野马,可我的家里没有草原。) | 2013-09-10 17:40

我以前也这样认为过,我觉得至少有几个库,有密文的,有明文的。不同用途不同库。

2#

瞌睡龙 (<body onload=alert(1)>) | 2013-09-10 17:41

少年 你激动了随便想一种存储方式md5($password.$salt)保存,数据库保存hash以及盐,拿到你密码之后加盐拼接,然后md5,最后作对比即可~

3#

数据流 (95后小帅哥) | 2013-09-10 17:49

@瞌睡龙 请问加密了还怎么对比

12345 跟 123456都加盐md5 在不能逆的情况下你怎么对比相似度

4#

数据流 (95后小帅哥) | 2013-09-10 17:51

@瞌睡龙 你没理解我的意思吧 是对比相似度 不是对比正确不正确

5#

小胖胖要减肥 | 2013-09-10 17:51

@数据流 。。。。。就是比对加密后的字符串而已

6#

数据流 (95后小帅哥) | 2013-09-10 17:52

@小胖胖要减肥 比对加密后的字符串 你能知道明文1跟明文2的相似度吗

7#

小胖胖要减肥 | 2013-09-10 17:55

@数据流 哦 没看清楚 那个我就不知道了

8#

数据流 (95后小帅哥) | 2013-09-10 17:57

@瞌睡龙 你说的是废话 谁不知道 我已经在原文补充说明了 你误解我意思了

是对比相似度 而不是对比跟原密码符不符合

9#

数据流 (95后小帅哥) | 2013-09-10 18:04

@瞌睡龙 @小胖胖要减肥 你们以后看清楚别人的帖子再发言好吗 - _ -||

10#

瞌睡龙 (<body onload=alert(1)>) | 2013-09-10 18:11

@数据流 不好意思没看仔细~相似度hash之后肯定没法对比 怎么办的就不知道了~腾讯肯定也不会公布

11#

呆子不开口 (我上线时头像会变亮) | 2013-09-10 18:13

@数据流 这个是可以做的,我可以把和123456相似的几个数的md5都存起来,就可以对比相似度了

12#

dyun (shall we begin?) | 2013-09-10 18:16

@呆子不开口 你得存多少个呀,密码长度越大,子集就越多呀

13#

江南的鱼 | 2013-09-10 18:17

TX有明文密码库,这个绝对的!

14#

熊猫 (???????????????????????????) | 2013-09-10 18:21

肯定有…

“因Q号被盗而发现明文数据库并download”

15#

呆子不开口 (我上线时头像会变亮) | 2013-09-10 18:27

@dyun 嗯,的确可行性不大。我是说非要实现的话,可以这么实现。比如象征性只做一个相似的,也不会多占多少

16#

数据流 (95后小帅哥) | 2013-09-10 18:29

@呆子不开口 你这个想法不太现实 太多了

17#

数据流 (95后小帅哥) | 2013-09-10 18:29

@核攻击 @xsser

核总 科普啊

18#

f1eecy | 2013-09-10 18:39

核总截图只截了一半啊,这个不确定应该是针对下半部分说的,即常用qq地点

19#

f1eecy | 2013-09-10 18:40

汗,说成核总了,流总。。

20#

px1624 ("><img src=1 onerror=ale>) | 2013-09-10 18:53

嗯 明文肯定有保存。

21#

小痞子 | 2013-09-10 19:13

要么有明文密码 要么采用的其他可逆对称加密

22#

姿势不行 (@我爱这个世界) | 2013-09-10 19:44

你自己注册一个 然后登陆 看从头到尾 有提交过 明文吗

23#

鬼魅羊羔 ((#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵) | 2013-09-10 19:51

我记得有人说过,申诉是程序审核,貌似不是人工。。。这样的话,判断历史资料肯定没办法精确的

如果一旦精确,就意味着有N多人永远找不回号了

原因很简单,申诉功能的本意就是在用户忘记了自己的密保或者无法登陆QQ时所临时抱佛脚的一个功能,如果历史密码匹配的越精细,反而让这个功能就形同虚设了,,估计,只要有那么几个,跟原密码相近或者类似,就应该可以被认定为相似度>XX%,从而当做证据之一,而历史密码,肯定在辅助申诉中占的比例不是很大,这就是为什么有些人在不填写历史密码的情况下,增加好友辅助人数就可以有几率重置的原因了。。。。。我猜的。。。

24#

无敌L.t.H (:?门安天京北爱我) | 2013-09-10 19:58

相近的密码不占大多数用处,只看全部正确的密码。

25#

数据流 (95后小帅哥) | 2013-09-10 20:22

@姿势不行 注册过程提交的密文不代表就是进库的密文 也不代表不可以逆

26#

核心白帽子 (等级:二逼白帽子) | 2013-09-10 21:19

你就只写了一个类似原密码的错误密码能申诉成功?

27#

yangff | 2013-09-10 22:49

……直接判断肯定不行。

但是如果这样做呢?

首先把密码相近的阙值调低,比如编辑距离的限制是5.(对于密码位数在10位的我来说,这简直阙值高爆了好吗,必须是3!!)

然后,

首先,strlen+5<anslen的可以直接无视了

O((2n)^5)暴力,这个复杂度还是比较可以接受的……大概没有人的密码长过40位吧。。30位的都很罕见吧。

28#

小九 | 2013-09-10 22:56

觉得明文存储可能不大

29#

erevus (我的乌云币都在小号上,小号不是绑定我QQ,别盗我号) | 2013-09-11 00:26

应该是可逆的加密...可能还专门有存salt的服务器

30#

银冥币 (养成了一个习惯.见框就x,见站就x,我爱X?) | 2013-09-11 12:13

为什么你们总是想md5呢,没可能是腾讯自己写的算法吗= =?

31#

数据流 (95后小帅哥) | 2013-09-11 12:25

@银冥币 这不是废话吗 腾讯肯定是自己的算法 md5只是拿来假设而已...

32#

银冥币 (养成了一个习惯.见框就x,见站就x,我爱X?) | 2013-09-11 21:15

@数据流 那应该是可逆的而不是明文存储啊= =。。。

33#

0.VIP | 2013-09-12 02:03

记得以前的QQ密码是base64加密的吧?

34#

Skull | 2013-09-12 02:39

看懂了

35#

数据流 (95后小帅哥) | 2013-09-12 11:24

@银冥币 所有密码可逆跟明文储存危害差不多 有人拿下了腾讯 要找到算法还不简单? 一般的话 想腾讯用户量这么大的公司 密码应该都要不可逆

36#

姿势不行 (@我爱这个世界) | 2013-09-12 13:04

@数据流 能从本地加密到服务器不就是JAVASCRIPT的贡献吗 这个有人能看出来可逆不的把

37#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-09-12 15:31

1、不可逆算法,基本没法对比相似度

2、可逆算法,可以对比

不过,我估计腾讯应该是不保存有明文的(或者算法不可逆),这行为太危险了,应该是加密后对比(不支持相似比较)。

38#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-09-12 15:32

还有,提示中写的“不确定也可以写”,并没有说是“相似”的密码,而是尽量告诉你多写一个,就多一丝希望。

39#

核心白帽子 (等级:二逼白帽子) | 2013-09-12 16:02

@核攻击 对,

比如有三个历史密码

wooyun666666

t00ls777777

baimaozi888888

申诉的时候写

wooyun66666

t00ls77777

baimaozi88888

是肯定申诉不回来的..

除非是你写的其他都对了 只有一个错了 那还有希望成功

那也不是因为你跟历史密码类似才成功的

换个别的什么也会成功

————————————————————————————————————————————

flow @ 2013-11-03 01:48:00

请问您认为的精确匹配是怎么定义的,算法大概是怎样?

本站回复:

if sha1("password_string") = hash then echo "旧密码正确"

佚名 @ 2013-12-17 05:06:14

“可逆跟明文储存危害差不多 有人拿下了腾讯 要找到算法还不简单? ” 怎么连非对称加密都不知道。。RSA、ECC。。加密用的公钥,解密用的私钥,是分离的。这是现代计算机世界的基础。 qq是有用户明文密码的。QQ邮箱用的就是RSA,这意味着,QQ服务端能取得用户明文密码。至于怎么保存,就不知道了。估计服务器、备份服务器 上有公钥和密文。少数TX高管手里有解密私钥。

本站回复:

+10086


最新回复 (0)
返回
发新帖