19 一击必杀
如果密码丢失怎么找回呢?
大家可以回想一下,绝大多数知名网站,app找回密码的操作
1-通过手机、身份证、预留问题、邮箱确定身份
2-输入新密码,并确认
(系统一般会存下历次使用的密码的加密字符串)
3-重置密码成功
如果有这个步骤说明系统并不知道你的密码,只知道你密码的加密字符串,经过确认身份后,允许你重新设定一个密码。
特别提醒:如果一个软件或者网站“找回密码”,结果把你的原来的真密码发回来了,那说明这地方的密码非常简单,连加密都没有,牢记牢记千万不要在这种网站用重要密码。
因为这个密码一旦被窃取,坏人就会用这个密码去试其它重要的如qq,微信,支付宝,网银等等。俗称“撞库”(用已知的密码去撞其它网站的账号)
拿《原始时代》用户丢失密码来讲,也是这么回事。当年没有手机捆绑,邮箱捆绑也用的很少。玩家的密码被窃取后,盗窃者将其修改成别的密码,原玩家就不能登陆。
这些修改密码行为,在游戏的服务器上,就是密码的字符串获得了更换。当没有新的密码,是无法登陆的,除非服务器重置为简单密码。
董康和曾启的思路便是如此,那位版主窃取了大量玩家密码后,会不会把每一个被盗走的账号都改成不同的密码呢?
不会,绝对不会的。
第一,工作量太大。
第二,一个有职业素养的黑客一定会给自己留下后门,如果随机起成不同的密码后,他一旦忘记也不能进入这些账号。
比如,上次狄颖宇找他要了一个43级的账号密码,他能够找回来,说明他知道密码改成什么行驶了。
董康查询了被改了密码的一批账号,发现这些账号的密码经过加密后,对应的字符串只有三个,也就是说,这位黑客版主把窃取到的账号,可能用三组密码进行修改。
有一组是狄颖宇为曾启那个43级账号要回过密码的。
还有两组密码是什么?
密码是没法逆向出来,这怎么办?
现在就轮到一直潜伏的狄颖宇出场了,曾启坐在网吧里,让狄颖宇继续用转发账号密码信息的邮箱不断给那位黑客版主转发账号密码。
那位黑客版主例行的收取diy0d给他发的邮件,他并不知道这个id到底是谁,他只知道,这是今天寒假这里注册的一个用户,醉心技术,喜欢研究破解。
在北州。这个diy0d制作的木马不定时都会给他发很多封邮件,邮件里是超过35级玩家的区服,账号,密码信息。