由挽救账户想到的
发表于 : 2024-07-05 14:37
家里有个草堂的备份,由于年头久了,管理员的密码不记得了。我把所有可能的密码全试过了都不行。由于里面有自己仅见的信息,又不忍放弃,所以挺难受的。
突然,有一天我想到数据库是我管的,还能搞不定密码?用数据库自带的工具打开了表,看到了该管理员的密码,果然不是明文,四处搜索解密方法也不果,看来phpBB3还是比较良心的。我又有点儿绝望了。突然我想到为啥不用已知密码的密文去覆盖解密呢。果然一试当场搞定。后来才知道原来这就是管理员给用户重置密码的原理,呵呵。
网站的密码可以被管理员随便搞,这还不要紧,如果是网上银行和手机银行怎么办。怪不得有那么多私人资金被内部蛀虫挪用的情况。如果一个系统的安全要靠管理员的良知和操守做保障,那是没有希望的。
总之,凡是要写数据库的操作都是不可能彻底安全的。所以,将来还是去中心化的区块链技术有希望,因为你可以串通你本单位的人,但你没法串通区块链那么多节点上的人,你也没法控制风险,要作假难度更大。
突然,有一天我想到数据库是我管的,还能搞不定密码?用数据库自带的工具打开了表,看到了该管理员的密码,果然不是明文,四处搜索解密方法也不果,看来phpBB3还是比较良心的。我又有点儿绝望了。突然我想到为啥不用已知密码的密文去覆盖解密呢。果然一试当场搞定。后来才知道原来这就是管理员给用户重置密码的原理,呵呵。
网站的密码可以被管理员随便搞,这还不要紧,如果是网上银行和手机银行怎么办。怪不得有那么多私人资金被内部蛀虫挪用的情况。如果一个系统的安全要靠管理员的良知和操守做保障,那是没有希望的。
总之,凡是要写数据库的操作都是不可能彻底安全的。所以,将来还是去中心化的区块链技术有希望,因为你可以串通你本单位的人,但你没法串通区块链那么多节点上的人,你也没法控制风险,要作假难度更大。