授权码建议

本贴最后更新于 329 天前,其中的信息可能已经天翻地覆

image.png

吐槽一下目前授权码的机制,除了非本地访问纯纯就是安慰剂。。。

建议把忘记密码的处理机制改为只能重置密码,比如对 accessAuthCode 加密,忘记密码时只能删掉重置而不是直接告诉你密码是什么,基于这种机制旁人想打开也会畏首畏尾,就算真的敢重置用户也能及时知道

  • 思源笔记

    思源笔记是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。

    融合块、大纲和双向链接,重构你的思维。

    22337 引用 • 89380 回帖
3 操作
wslrj 在 2023-12-28 11:07:42 更新了该帖
wslrj 在 2023-12-28 10:59:23 更新了该帖
wslrj 在 2023-12-28 10:59:01 更新了该帖

相关帖子

18 回帖

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • 这个讨论过很多次了,本身就是防君子不防小人的,本地存储也是明文的,直接删了你的配置也能进去。

    1 回复
  • wslrj

    还是有区别的,一个是进去了不知道一个进去了知道,再者也不一定不能防小人,删掉配置就会重置密码正常人敢删吗?

    2 回复
  • 比如在社区里问怎么重置授权码,比如直接把你的空间拷贝走,方式很多。

    1 回复
  • wslrj

    你是不是看成“正常人能删了”。。。

    1 回复
  • 我是说,不删也可以,直接把数据拷走完事,主要这种重置方式是公开的。历史遗留的问题,暂时也没什么好方法。

    1 回复
  • wslrj

    你这话预设的前提:旁人十分了解思源、肯花大量时间精力在我的电脑前狗狗祟祟、随身携带移动存储设备
    大哥,我只是不想让别人随随便便就看到我的笔记有必要这么极端的反驳吗。。。意外防不住总不能不防把自己暴露给意外吧。。。

    1 回复
  • zxkmm 1 1 赞同

    这个主意确实不错,但是要明确几点:

    1. 做不到防止数据被看到
    2. 做不到防止别人篡改密码
    3. 做不到数据加密。

    这个主意的好处只是假设你到处都用同一个密码的话,可以防止密码明文泄露

    1 操作
    zxkmm 在 2023-12-28 12:11:36 更新了该回帖
  • 没有极端啊,是已经有这样反馈啊,那时候老是有人问怎么重置,所以我才说历史遗留的问题。而且别人还找到你的工作空间呢,那不是花了精力特意来拷贝的吗?

    1 回复
  • 我想带出的信息是:

    1.重置机制做得再复杂也没用,因为本地存储不是加密的。

    2.删了这个提示后,很多人到社区或者群里问,也不是什么秘密。

    3.就算放了这个提示,别人还得找到你的空间,要全盘搜索你电脑的人也不是什么君子了,远离他或者不要把重要数据放在这个电脑上。

  • wslrj

    《找到工作空间》《蓄谋已久的拷贝》,加上这两个前提更极端了。。。我的诉求只是不想别人随随便便就能看到我的笔记谢谢

    1 回复
  • 不找到你的工作空间,又怎么查看你的授权码呢?对吧?这个提示不是直接显示密码啊。

    1 回复
  • wslrj

    所以把授权码加密就好了啊,正常生活中大多数人到了这一步基本就放弃了
    我不想别人随便便便就看到我的笔记,这是我第三遍说我的诉求了,现在的机制和直接把密码告诉你有什么区别?加密了还不放弃了那不叫“随便”叫“恶意”,“因为会被破解所以做再多也没用”就是一句正确的废话,你所有的密码都有破解的方法那就不设密码了?

    1 回复
    1 操作
    wslrj 在 2023-12-28 13:34:05 更新了该回帖
  • 攻击者进去了你能得知,这点是做不到的。攻击者可以先把你原先的加盐值抄写(或者保存)下来,然后自己把自己的加盐后的密码填进去,看完你的笔记以后再把你的加盐后的密码填回去。

    或者更简单的就是直接看源文件。

    1 回复
  • royc1 1 赞同

    你误会了我的意思,我的意思是了解思源的人不需要破解授权码也能看,不了解思源的人连工作空间都找不到,看不到你的笔记的。而这个提示是因为太多人问怎么重置后的妥协办法,暂时没有更好的办法。

  • temacc0531

    简单点说,现在的授权码机制是用在对外公开使用的,也就是说即使这个信息公开了其他人也访问不到你的机器上的配置文件,而不是用来当作本地锁屏密码使用的

  • wslrj

    技术层面可以通过随机盐解决,但不管怎么解决总会有破解的方法,所以没必要纠结这个
    现在的问题是其他人打开笔记的门槛过于低了,配上解锁的提示可以说稍微带点脑子都能神不知鬼不觉的进去,不求 D 大会把授权机制做到极致,但做好适用大多数人的防护措施我觉得是很有必要的 @88250

  • 跟加密相关的讨论已经超级多了,D 大的意思是要做就做全套,一点缝都不留,但现在还做不到。

    是否提供文档级“加密”以保护隐私?(含投票)

  • 可以换一种思路,比如我一般是随手用鼠标手势或按快捷键直接锁定电脑屏幕。

请输入回帖内容 ...

推荐标签 标签

  • Swagger

    Swagger 是一款非常流行的 API 开发工具,它遵循 OpenAPI Specification(这是一种通用的、和编程语言无关的 API 描述规范)。Swagger 贯穿整个 API 生命周期,如 API 的设计、编写文档、测试和部署。

    26 引用 • 35 回帖 • 1 关注
  • 工具

    子曰:“工欲善其事,必先利其器。”

    286 引用 • 729 回帖
  • 安全

    安全永远都不是一个小问题。

    199 引用 • 816 回帖 • 1 关注
  • Oracle

    Oracle(甲骨文)公司,全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。1989 年正式进入中国市场。2013 年,甲骨文已超越 IBM,成为继 Microsoft 后全球第二大软件公司。

    105 引用 • 127 回帖 • 382 关注
  • H2

    H2 是一个开源的嵌入式数据库引擎,采用 Java 语言编写,不受平台的限制,同时 H2 提供了一个十分方便的 web 控制台用于操作和管理数据库内容。H2 还提供兼容模式,可以兼容一些主流的数据库,因此采用 H2 作为开发期的数据库非常方便。

    11 引用 • 54 回帖 • 654 关注
  • 周末

    星期六到星期天晚,实行五天工作制后,指每周的最后两天。再过几年可能就是三天了。

    14 引用 • 297 回帖 • 1 关注
  • CSDN

    CSDN (Chinese Software Developer Network) 创立于 1999 年,是中国的 IT 社区和服务平台,为中国的软件开发者和 IT 从业者提供知识传播、职业发展、软件开发等全生命周期服务,满足他们在职业发展中学习及共享知识和信息、建立职业发展社交圈、通过软件开发实现技术商业化等刚性需求。

    14 引用 • 155 回帖
  • Postman

    Postman 是一款简单好用的 HTTP API 调试工具。

    4 引用 • 3 回帖 • 3 关注
  • iOS

    iOS 是由苹果公司开发的移动操作系统,最早于 2007 年 1 月 9 日的 Macworld 大会上公布这个系统,最初是设计给 iPhone 使用的,后来陆续套用到 iPod touch、iPad 以及 Apple TV 等产品上。iOS 与苹果的 Mac OS X 操作系统一样,属于类 Unix 的商业操作系统。

    85 引用 • 139 回帖 • 1 关注
  • SSL

    SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层对网络连接进行加密。

    70 引用 • 193 回帖 • 431 关注
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    524 引用 • 4601 回帖 • 700 关注
  • Unity

    Unity 是由 Unity Technologies 开发的一个让开发者可以轻松创建诸如 2D、3D 多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎。

    25 引用 • 7 回帖 • 173 关注
  • Hibernate

    Hibernate 是一个开放源代码的对象关系映射框架,它对 JDBC 进行了非常轻量级的对象封装,使得 Java 程序员可以随心所欲的使用对象编程思维来操纵数据库。

    39 引用 • 103 回帖 • 709 关注
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖
  • LaTeX

    LaTeX(音译“拉泰赫”)是一种基于 ΤΕΧ 的排版系统,由美国计算机学家莱斯利·兰伯特(Leslie Lamport)在 20 世纪 80 年代初期开发,利用这种格式,即使使用者没有排版和程序设计的知识也可以充分发挥由 TeX 所提供的强大功能,能在几天,甚至几小时内生成很多具有书籍质量的印刷品。对于生成复杂表格和数学公式,这一点表现得尤为突出。因此它非常适用于生成高印刷质量的科技和数学类文档。

    12 引用 • 54 回帖 • 65 关注
  • 大疆创新

    深圳市大疆创新科技有限公司(DJI-Innovations,简称 DJI),成立于 2006 年,是全球领先的无人飞行器控制系统及无人机解决方案的研发和生产商,客户遍布全球 100 多个国家。通过持续的创新,大疆致力于为无人机工业、行业用户以及专业航拍应用提供性能最强、体验最佳的革命性智能飞控产品和解决方案。

    2 引用 • 14 回帖
  • Python

    Python 是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。

    543 引用 • 672 回帖 • 1 关注
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 9 关注
  • CentOS

    CentOS(Community Enterprise Operating System)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同在于 CentOS 并不包含封闭源代码软件。

    238 引用 • 224 回帖
  • Vue.js

    Vue.js(读音 /vju ː/,类似于 view)是一个构建数据驱动的 Web 界面库。Vue.js 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件。

    266 引用 • 665 回帖
  • SOHO

    为成为自由职业者在家办公而努力吧!

    7 引用 • 55 回帖 • 19 关注
  • Hadoop

    Hadoop 是由 Apache 基金会所开发的一个分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。

    86 引用 • 122 回帖 • 625 关注
  • TGIF

    Thank God It's Friday! 感谢老天,总算到星期五啦!

    287 引用 • 4484 回帖 • 669 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖
  • JRebel

    JRebel 是一款 Java 虚拟机插件,它使得 Java 程序员能在不进行重部署的情况下,即时看到代码的改变对一个应用程序带来的影响。

    26 引用 • 78 回帖 • 664 关注
  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    12 引用 • 54 回帖 • 165 关注
  • Dubbo

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是 [阿里巴巴] SOA 服务化治理方案的核心框架,每天为 2,000+ 个服务提供 3,000,000,000+ 次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点。

    60 引用 • 82 回帖 • 595 关注