csdn明文存储密码
① csdn,天涯,世纪佳缘等网站都是怎么泄密的是黑客攻击他们各单位的服务器造成的泄密吗
是的。最早是黑客攻击csdn,导致大量用护数据泄漏。并且csdn的用户密码还是明文。而这些用户中有大量的人,他们喜欢用同一个账号和密码,这就导致他们在其他知名论坛上的ID被盗。
② 如何防止系统用户泄漏密码给他人使用
1、使用暗文密码
这次CSDN泄漏的600万用户密码系CSDN2009年4月之前的用户资料,CSDN称在2009年4月前该网站将用户资料以明文密码方式存储,09年4月之后系统升级才使用暗文密码,但不知为何,未将之前的用户资料做相关处理。所以,相关网站应该一律使用暗文方式存储密码,就算被盗也不会被黑客轻而易举的拿走用户隐私信息。
2、限制用户输入非常容易被破解的口令
网站在处理用户申请帐号时,可以做出相应的规定。比如说当用户输入“123456”做密码时可以出现提示“此密码过于简单”等并限制此类密码的建立。
3、妥善管理用户登录状态
不要在cookie中存放用户的密码,Javascript 中cookie存放密码,客户端是可以查看的,别人查看一下js代码,然后就可以从cookie里面还原密码了。
正确设计“记住密码”功能,不要让cookie有权限访问所有的操作,权衡cookie的过期时间。
4、口令探测防护
使用验证码登录,设置验证码可以防止网站批量注册及暴力破解等行为。网站也可设置用户口令失败次数,在登录一定次数之后限制该帐号在一段时间内的登录。
5、部署完整的信息安全系统
这一点是需要网站必须做好的一件事情,网站部署完整的信息安全系统,充分保护用户资料信息。密码泄漏的两个源头之一用户密码被盗为个体,如果企业数据库被攻破则为群体,网站的信息安全工作尤为重要。
③ 有什么提供明文密码的
尽管我国目前还未对盗取密码的行为立法,但恶意获取密码的行为仍不属于合法行为,恶意获取密码的行为可能会面临被密码所有方提起诉讼的局面,所以无论你出于什么想法,都请不要想要去获取别人的密码。
2011年12月,程序员网站CSDN遭到黑客攻击,大量用户数据库被公布在互联网上。从专业IT技术网站到用户量巨大的各类网络平台,都被曝出存留用户明文密码,引起网民极大恐慌和质疑。
在CSDN用户数据库泄露事件中,最早在迅雷公开提供数据库下载的被指是杀毒公司金山毒霸的员工(迅雷ID:hzqedison)。
据悉,hzqedison是金山毒霸产品经理,他在12月21日把CSDN用户数据库上传到了迅雷快传,该数据库下载链接随即在各大黑客论坛和QQ群中迅速传开。
在网上公开流传的CSDN用户数据库原始文件,全都是通过hzqedison的迅雷快传扩散的。
事件曝光后,hzqedison通过微博表态:自己看到某人发了CSDN库文件的迅雷下载链接,于是做了下转换。他还特别声明,此事是个人行为,和金山公司没有关系。
CSDN的用户密码遭泄露后,国内知名的社区网站天涯网也发布致歉信,称天涯部分用户隐私也遭到黑客泄露。有消息称,被泄露的天涯用户数量达到4000万。
④ 明文存储密码和密文密码是什么意思
明文存储就是他们存储密码信息的数据库里的密码信息是直接放进去的,没有经过加密,数据库被盗取的话所有密码信息全部都会直接泄露。
密文就是加密了呗。
⑤ csdn泄密和银行,网上银行 股票这些密码也会泄密吗请问 专业人士帮忙回答一下
CSDN服务器遭到攻击,关银行什么事……银行使用的是封闭式内环网络管理,和外界互联网又没有什么关系。只是说目前有些人把论坛等地方的密码设置成和自己的银行卡密码一样的字符,导致CSDN泄漏的个人信息可能和部分人的银行信息重合,从而提醒这部分人更改密码,提高防范意识。
不要以讹传讹。
⑥ 如何安全保存密码
过去一段时间来,众多的网站遭遇用户密码数据库泄露事件,这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,国内诸如CSDN一类的就更多了。
层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。
那么在选择密码存储方案时,容易掉入哪些陷阱,以及如何避免这些陷阱?我们将在实践中的一些心得体会记录于此,与大家分享。
菜鸟方案:
直接存储用户密码的明文或者将密码加密存储。
曾经有一次我在某知名网站重置密码,结果邮件中居然直接包含以前设置过的密码。我和客服咨询为什么直接将密码发送给用户,客服答曰:“减少用户步骤,用户体验更好”;再问“管理员是否可以直接获知我的密码”, 客服振振有词:“我们用XXX算法加密过的,不会有问题的”。 殊不知,密码加密后一定能被解密获得原始密码,因此,该网站一旦数据库泄露,所有用户的密码本身就大白于天下。
以后看到这类网站,大家最好都绕道而走,因为一家“暴库”,全部遭殃。
入门方案:
将明文密码做单向哈希后存储。
单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,这也是“单向”二字的来源,这一点和所有的加密算法都不同。常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进行SHA-256哈希后的摘要(digest)如下:
“”
可能是“单向”二字有误导性,也可能是上面那串数字唬人,不少人误以为这种方式很可靠, 其实不然。
单向哈希有两个特性:
1)从同一个密码进行单向哈希,得到的总是唯一确定的摘要
2)计算速度快。随着技术进步,尤其是显卡在高性能计算中的普及,一秒钟能够完成数十亿次单向哈希计算
结合上面两个特点,考虑到多数人所使用的密码为常见的组合,攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。
更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃。以后要是有某家厂商宣布“我们的密码都是哈希后存储的,绝对安全”,大家对这个行为要特别警惕并表示不屑。有兴趣的朋友可以搜索下,看看哪家厂商躺着中枪了。
进阶方案:
将明文密码混入“随机因素”,然后进行单向哈希后存储,也就是所谓的“Salted Hash”。
这个方式相比上面的方案,最大的好处是针对每一个数据库中的密码,都需要建立一个完整的rainbow table进行匹配。 因为两个同样使用“passwordhunter”作为密码的账户,在数据库中存储的摘要完全不同。
10多年以前,因为计算和内存大小的限制,这个方案还是足够安全的,因为攻击者没有足够的资源建立这么多的rainbow table。 但是,在今日,因为显卡的恐怖的并行计算能力,这种攻击已经完全可行。
专家方案:
故意增加密码计算所需耗费的资源和时间,使得任何人都不可获得足够的资源建立所需的rainbow table。
这类方案有一个特点,算法中都有个因子,用于指明计算密码摘要所需要的资源和时间,也就是计算强度。计算强度越大,攻击者建立rainbow table越困难,以至于不可继续。
这类方案的常用算法有三种:
1)PBKDF2(Password-Based Key Derivation Function)
PBKDF2简单而言就是将salted hash进行多次重复计算,这个次数是可选择的。如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟。假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天。这个代价足以让大部分的攻击者忘而生畏。
美国政府机构已经将这个方法标准化,并且用于一些政府和军方的系统。 这个方案最大的优点是标准化,实现容易同时采用了久经考验的SHA算法。
2) bcrypt
bcrypt是专门为密码存储而设计的算法,基于Blowfish加密算法变形而来,由Niels Provos和David Mazières发表于1999年的USENIX。
bcrypt最大的好处是有一个参数(work factor),可用于调整计算强度,而且work factor是包括在输出的摘要中的。随着攻击者计算能力的提高,使用者可以逐步增大work factor,而且不会影响已有用户的登陆。
bcrypt经过了很多安全专家的仔细分析,使用在以安全着称的OpenBSD中,一般认为它比PBKDF2更能承受随着计算能力加强而带来的风险。bcrypt也有广泛的函数库支持,因此我们建议使用这种方式存储密码。
3) scrypt
scrypt是由着名的FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的。
和上述两种方案不同,scrypt不仅计算所需时间长,而且占用的内存也多,使得并行计算多个摘要异常困难,因此利用rainbow table进行暴力攻击更加困难。scrypt没有在生产环境中大规模应用,并且缺乏仔细的审察和广泛的函数库支持。但是,scrypt在算法层面只要没有破绽,它的安全性应该高于PBKDF2和bcrypt。
来源:坚果云投稿,坚果云是一款类似Dropbox的云存储服务,可以自动同步、备份文件。