csdn明文存儲密碼
① csdn,天涯,世紀佳緣等網站都是怎麼泄密的是黑客攻擊他們各單位的伺服器造成的泄密嗎
是的。最早是黑客攻擊csdn,導致大量用護數據泄漏。並且csdn的用戶密碼還是明文。而這些用戶中有大量的人,他們喜歡用同一個賬號和密碼,這就導致他們在其他知名論壇上的ID被盜。
② 如何防止系統用戶泄漏密碼給他人使用
1、使用暗文密碼
這次CSDN泄漏的600萬用戶密碼系CSDN2009年4月之前的用戶資料,CSDN稱在2009年4月前該網站將用戶資料以明文密碼方式存儲,09年4月之後系統升級才使用暗文密碼,但不知為何,未將之前的用戶資料做相關處理。所以,相關網站應該一律使用暗文方式存儲密碼,就算被盜也不會被黑客輕而易舉的拿走用戶隱私信息。
2、限制用戶輸入非常容易被破解的口令
網站在處理用戶申請帳號時,可以做出相應的規定。比如說當用戶輸入「123456」做密碼時可以出現提示「此密碼過於簡單」等並限制此類密碼的建立。
3、妥善管理用戶登錄狀態
不要在cookie中存放用戶的密碼,Javascript 中cookie存放密碼,客戶端是可以查看的,別人查看一下js代碼,然後就可以從cookie裡面還原密碼了。
正確設計「記住密碼」功能,不要讓cookie有許可權訪問所有的操作,權衡cookie的過期時間。
4、口令探測防護
使用驗證碼登錄,設置驗證碼可以防止網站批量注冊及暴力破解等行為。網站也可設置用戶口令失敗次數,在登錄一定次數之後限制該帳號在一段時間內的登錄。
5、部署完整的信息安全系統
這一點是需要網站必須做好的一件事情,網站部署完整的信息安全系統,充分保護用戶資料信息。密碼泄漏的兩個源頭之一用戶密碼被盜為個體,如果企業資料庫被攻破則為群體,網站的信息安全工作尤為重要。
③ 有什麼提供明文密碼的
盡管我國目前還未對盜取密碼的行為立法,但惡意獲取密碼的行為仍不屬於合法行為,惡意獲取密碼的行為可能會面臨被密碼所有方提起訴訟的局面,所以無論你出於什麼想法,都請不要想要去獲取別人的密碼。
2011年12月,程序員網站CSDN遭到黑客攻擊,大量用戶資料庫被公布在互聯網上。從專業IT技術網站到用戶量巨大的各類網路平台,都被曝出存留用戶明文密碼,引起網民極大恐慌和質疑。
在CSDN用戶資料庫泄露事件中,最早在迅雷公開提供資料庫下載的被指是殺毒公司金山毒霸的員工(迅雷ID:hzqedison)。
據悉,hzqedison是金山毒霸產品經理,他在12月21日把CSDN用戶資料庫上傳到了迅雷快傳,該資料庫下載鏈接隨即在各大黑客論壇和QQ群中迅速傳開。
在網上公開流傳的CSDN用戶資料庫原始文件,全都是通過hzqedison的迅雷快傳擴散的。
事件曝光後,hzqedison通過微博表態:自己看到某人發了CSDN庫文件的迅雷下載鏈接,於是做了下轉換。他還特別聲明,此事是個人行為,和金山公司沒有關系。
CSDN的用戶密碼遭泄露後,國內知名的社區網站天涯網也發布致歉信,稱天涯部分用戶隱私也遭到黑客泄露。有消息稱,被泄露的天涯用戶數量達到4000萬。
④ 明文存儲密碼和密文密碼是什麼意思
明文存儲就是他們存儲密碼信息的資料庫里的密碼信息是直接放進去的,沒有經過加密,資料庫被盜取的話所有密碼信息全部都會直接泄露。
密文就是加密了唄。
⑤ csdn泄密和銀行,網上銀行 股票這些密碼也會泄密嗎請問 專業人士幫忙回答一下
CSDN伺服器遭到攻擊,關銀行什麼事……銀行使用的是封閉式內環網路管理,和外界互聯網又沒有什麼關系。只是說目前有些人把論壇等地方的密碼設置成和自己的銀行卡密碼一樣的字元,導致CSDN泄漏的個人信息可能和部分人的銀行信息重合,從而提醒這部分人更改密碼,提高防範意識。
不要以訛傳訛。
⑥ 如何安全保存密碼
過去一段時間來,眾多的網站遭遇用戶密碼資料庫泄露事件,這甚至包括頂級的互聯網企業–NASDQ上市的商務社交網路Linkedin,國內諸如CSDN一類的就更多了。
層出不窮的類似事件對用戶會造成巨大的影響,因為人們往往習慣在不同網站使用相同的密碼,一家「暴庫」,全部遭殃。
那麼在選擇密碼存儲方案時,容易掉入哪些陷阱,以及如何避免這些陷阱?我們將在實踐中的一些心得體會記錄於此,與大家分享。
菜鳥方案:
直接存儲用戶密碼的明文或者將密碼加密存儲。
曾經有一次我在某知名網站重置密碼,結果郵件中居然直接包含以前設置過的密碼。我和客服咨詢為什麼直接將密碼發送給用戶,客服答曰:「減少用戶步驟,用戶體驗更好」;再問「管理員是否可以直接獲知我的密碼」, 客服振振有詞:「我們用XXX演算法加密過的,不會有問題的」。 殊不知,密碼加密後一定能被解密獲得原始密碼,因此,該網站一旦資料庫泄露,所有用戶的密碼本身就大白於天下。
以後看到這類網站,大家最好都繞道而走,因為一家「暴庫」,全部遭殃。
入門方案:
將明文密碼做單向哈希後存儲。
單向哈希演算法有一個特性,無法通過哈希後的摘要(digest)恢復原始數據,這也是「單向」二字的來源,這一點和所有的加密演算法都不同。常用的單向哈希演算法包括SHA-256,SHA-1,MD5等。例如,對密碼「passwordhunter」進行SHA-256哈希後的摘要(digest)如下:
「」
可能是「單向」二字有誤導性,也可能是上面那串數字唬人,不少人誤以為這種方式很可靠, 其實不然。
單向哈希有兩個特性:
1)從同一個密碼進行單向哈希,得到的總是唯一確定的摘要
2)計算速度快。隨著技術進步,尤其是顯卡在高性能計算中的普及,一秒鍾能夠完成數十億次單向哈希計算
結合上面兩個特點,考慮到多數人所使用的密碼為常見的組合,攻擊者可以將所有密碼的常見組合進行單向哈希,得到一個摘要組合,然後與資料庫中的摘要進行比對即可獲得對應的密碼。這個摘要組合也被稱為rainbow table。
更糟糕的是,一個攻擊者只要建立上述的rainbow table,可以匹配所有的密碼資料庫。仍然等同於一家「暴庫」,全部遭殃。以後要是有某家廠商宣布「我們的密碼都是哈希後存儲的,絕對安全」,大家對這個行為要特別警惕並表示不屑。有興趣的朋友可以搜索下,看看哪家廠商躺著中槍了。
進階方案:
將明文密碼混入「隨機因素」,然後進行單向哈希後存儲,也就是所謂的「Salted Hash」。
這個方式相比上面的方案,最大的好處是針對每一個資料庫中的密碼,都需要建立一個完整的rainbow table進行匹配。 因為兩個同樣使用「passwordhunter」作為密碼的賬戶,在資料庫中存儲的摘要完全不同。
10多年以前,因為計算和內存大小的限制,這個方案還是足夠安全的,因為攻擊者沒有足夠的資源建立這么多的rainbow table。 但是,在今日,因為顯卡的恐怖的並行計算能力,這種攻擊已經完全可行。
專家方案:
故意增加密碼計算所需耗費的資源和時間,使得任何人都不可獲得足夠的資源建立所需的rainbow table。
這類方案有一個特點,演算法中都有個因子,用於指明計算密碼摘要所需要的資源和時間,也就是計算強度。計算強度越大,攻擊者建立rainbow table越困難,以至於不可繼續。
這類方案的常用演算法有三種:
1)PBKDF2(Password-Based Key Derivation Function)
PBKDF2簡單而言就是將salted hash進行多次重復計算,這個次數是可選擇的。如果計算一次所需要的時間是1微秒,那麼計算1百萬次就需要1秒鍾。假如攻擊一個密碼所需的rainbow table有1千萬條,建立所對應的rainbow table所需要的時間就是115天。這個代價足以讓大部分的攻擊者忘而生畏。
美國政府機構已經將這個方法標准化,並且用於一些政府和軍方的系統。 這個方案最大的優點是標准化,實現容易同時採用了久經考驗的SHA演算法。
2) bcrypt
bcrypt是專門為密碼存儲而設計的演算法,基於Blowfish加密演算法變形而來,由Niels Provos和David Mazières發表於1999年的USENIX。
bcrypt最大的好處是有一個參數(work factor),可用於調整計算強度,而且work factor是包括在輸出的摘要中的。隨著攻擊者計算能力的提高,使用者可以逐步增大work factor,而且不會影響已有用戶的登陸。
bcrypt經過了很多安全專家的仔細分析,使用在以安全著稱的OpenBSD中,一般認為它比PBKDF2更能承受隨著計算能力加強而帶來的風險。bcrypt也有廣泛的函數庫支持,因此我們建議使用這種方式存儲密碼。
3) scrypt
scrypt是由著名的FreeBSD黑客 Colin Percival為他的備份服務 Tarsnap開發的。
和上述兩種方案不同,scrypt不僅計算所需時間長,而且佔用的內存也多,使得並行計算多個摘要異常困難,因此利用rainbow table進行暴力攻擊更加困難。scrypt沒有在生產環境中大規模應用,並且缺乏仔細的審察和廣泛的函數庫支持。但是,scrypt在演算法層面只要沒有破綻,它的安全性應該高於PBKDF2和bcrypt。
來源:堅果雲投稿,堅果雲是一款類似Dropbox的雲存儲服務,可以自動同步、備份文件。