@火星大能猫 别把官方声明当回事，QQ早期的找回密码功能直接将密码发送到你的邮箱。。。

可能是服务器上的数据库已经保存有密码3次md5后的密文，和用户登录提交的对比是否相同。。

疼迅买个SSL很贵吗

[quote]小彬： @火星大能猫 看文章结论，明文保存的可能性不大，可能是用可逆加密算法保存的[/quote] 没有证据就想当然的认为，这样会误导很多人的。 服务端保存的是密文，用户输入密码，将加密后的密文与服务端的密文相比较，相同则登录成功，而且这个加密过程是不可逆的，如果可逆，将没有任何意义了。

密码哈希^验证码哈希 每次都不一样吧。。。 服务端 数据库静态哈希码^验证码哈希 不就能验证了。。。。 纯属瞎猜。。

@xinyu.zhang 这个思路可以

@火星大能猫 看文章结论，明文保存的可能性不大，可能是用可逆加密算法保存的

QQ找回密码功能只能修改密码,所以QQ不是明文保存的.QQ官方也申明过.

[quote]xinyu.zhang： 楼主的思路是 用户名+密码+验证码 （md5） = 哈希值 -> 服务器端验证，由于验证码每次都不相同，故服务器端无法储存静态哈希值进行验证。 可不可以这样： 服务器端储存 用户名+密码（md5） 的哈希值 （value1） 客户端输入： 用户名、密码、验证码 用户名+验证码（md5）= 哈希值 + 验证码 （md5） = 哈希值 -> 服务器 服务器端：(value1) + 验证码（md5） = 哈希值 用这两个值比较，一样则成功[/quote] 不管正确与否。 我觉得这个哥们分析的思路不错。

Too simple,too navie.

看到标题吓一跳，还好理越辩越明

哈哈～～～看来写博也不能理清思路啊～～楼上的同学们都说的很多了

验证码不需要进行MD5 网络传输密码时采用密钥加密，对于网站服务器，这个加密过程是可逆的；而对于其他人，由于不知道密钥，是无法进行解密的。 而验证码的存在，正是为了防止被暴力破解，这个验证码，甚至可以在客户端生成，只要验证码不正确，程序可以不向服务器提交请求；就算验证码是在服务端生成，如果不正确，那么服务器可以不去验证密码，直接返回一个登陆失败。 验证码明文传输又能如何？每次登陆都不一样，一个登陆过程结束以后，这条验证码也就没有用了，就按普通的四个英文字母组成的验证码，也有多达45万（26的四次方）个不同的值，对付暴力破解绰绰有余。

太不靠谱了，怎么得出的这个结果？照这样推理，只要使用验证码的网站，都存储的是明文！这种案例我们老师在密码学的课堂上就给我们分析过，随机验证码作为会话密钥而已，看来是楼主把自己绕进去了！

分析的些啥啊,不靠谱

QQ密码是三次MD5!

QQ应该是存三次MD5的结果，下次比对的时候，直接拿结果和验证码进行再次MD5，再进行对比就可以了

[quote]寒霭：为什么验证码也要md5?[/quote] 出于安全考虑吧，因为每次验证码不同，这样传输回服务器的时候，每次传回来的MD5值也都不同，虽然密码是一样的

为什么验证码也要md5?

楼主的思路是 用户名+密码+验证码 （md5） = 哈希值 -> 服务器端验证，由于验证码每次都不相同，故服务器端无法储存静态哈希值进行验证。 可不可以这样： 服务器端储存 用户名+密码（md5） 的哈希值 （value1） 客户端输入： 用户名、密码、验证码 用户名+验证码（md5）= 哈希值 + 验证码 （md5） = 哈希值 -> 服务器 服务器端：(value1) + 验证码（md5） = 哈希值 用这两个值比较，一样则成功