今天当我尝试推送我的代码时收到此消息:
remote: Weak credentials. Please Update your password to continue using GitHub.
remote: See https://help.github.com/articles/creating-a-strong-password/.
他们如何知道我使用了弱密码,因为他们只存储密码哈希?
最佳答案
是的,您的理解是正确的。 当您输入密码登录、创建帐户或更改密码时,GitHub 会根据 HaveIBeenPwned 等数据集检查您输入的密码是否被视为弱密码。即使您以前从未使用过该密码,该密码也可能被识别为弱密码。
GitHub 仅在您键入密码时检查密码,并且绝不会以明文形式存储您输入的密码。
以下是可能的实现:
用户使用有效凭据登录。
在散列密码之前检查密码是否安全: 根据 https://haveibeenpwned.com/ 的密码 API 检查密码 SHA-1 哈希值.
如果密码不安全,它可以将二进制切换存储为用户字段。
如果用户设置了二进制切换,则在每个页面上显示警告并促使他们更改密码
关于github - GitHub 如何知道我的密码较弱?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59425506/