CSDN 密码泄漏事件跟踪总结
事件经过,参见首先被披露数据泄漏的CSDN做的专题:数据之殇 http://special.csdn.net/password/index.html
从12月21日CSDN部分用户信息遭黑客泄露开始到今天,每天都有新的网站的数据被披露,甚至还有银行的客户数据。被泄露数据的网站反应不一,道歉的道歉,辟谣的辟谣。可以说是各种传闻,各种道歉,各种辟谣。
此次事件对我们做为网站用户或者作为网站开发人员会有什么启示呢?我们要如何保护好自己的密码不被泄漏,重要的信息不被黑客获取呢?
作为网站的用户:
由于需要注册使用的网站众多,用户名、密码的设置就成了一大问题。具体来说有以下3种:
- 多个网站使用同一密码;
- 多个网站使用不同密码,但存在一定规律;
- 多个网站使用不同密码且无规律;
从1到3对个人数据来说是越来越安全的,为什么这第说呢?
举例来说:如果你的支付宝账号与CSDN账号的账号和密码是一样的,CSDN的数据被泄漏就等于你的支付宝账号被泄漏。黑客们会用你CSDN的账号去登录你的支付宝账号,从而获得你的支付宝账号的信息。如果你的密码在不同网站的不同密码是有规律的,聪明的黑客会根据获得的两个以上的你的账号和密码去猜测你的密码设置的规律,从而获得你在其它网站的密码。也就是说采用1、2两种方式设置你的密码,一旦有一个网站的密码被黑客获得,你的所有账号的密码就能被黑客获得啦。
所以,做为众多网站的用户,密码设置的第一原则是:多个网站使用不同密码且无规律
此方法安全,但是却加重了密码记忆的负担。把所有密码保存到一个文本文件里面,使用的时候查询?如果此文件被他人获得,就悲剧了。
为了减少记忆的负担,也可以对不网的网站设置不同安全等级的密码。比如:支付宝、淘宝、网站银行的账号很重要,可以设置复杂的密码。对微博、各种论坛等,可设置简单的密码,因为此类账号被盗你的损失也不大。
有没有即安全有方便的方法呢?
使用密码管理工具:KeePass Password Safe
只要记忆一个强密码,其它强密码交给KeePass Password Safe来管理。
-----------------------------------------华丽丽的技术分隔线-------------------------------------------
作为网站开发人员
外行人看热闹,内行人看门道。作为网站开发人员,我们需要保证网站所有会员的数据安全。
要保证用户数据安全一是要让用户设置足够安全的密码,二是要保证密码存储的安全。
这就涉及到下面的两个问题:
- 怎样让用户输入安全的密码?
- 怎样安全的存储一个密码?
怎样让用户输入安全的密码?
- 引导用户设置强口令;
- 设置密码禁用表。
让用户设置更安全的口令加大了用户忘记密码的可能,所以配套需要开发完善的密码找回或重置功能。
怎样安全的存储一个密码?
一是要防止黑客获得你的数据库,即防止被“脱裤”;
二是即使是黑客获得了你的数据库,在有限的时间内也无法还原你的用户的密码。
第一点没有在此次事件中学到什么;第二点通过各路牛人在微博上的讨论,可以说是收获满满。
密码存储安全级别(由弱到强):
- 明文
- MD5加密密文
- MD5 + 单一salt
- MD5 + 每个用户一个salt
- bcrypt
按左耳朵耗子的说法,明文存储是白痴做法,仅MD5和明文一样白痴,MD5+单一salt跟MD5一样没有什么区别,MD5 + 每个用户一个salt且salt和密文密码是分开存储的才只比白痴强一点点。django自带的auth处于第4级,但是密文和salt是存储在一起的,所以还是白痴级。有一个第三方插件django-bcrypt,可以使django支持用bcrypt存储密码。
为什么说1-4种存储密码的方式都很白痴?
虽然MD5加密的数据是不可逆的,但是由于彩虹表的存在,让常用的密码可以在瞬间被破解。
彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码。越是复杂的密码,需要的彩虹表就越大,现在主流的彩虹表都是100G以上。
通过匹配彩虹表中的密文,就能知道你设置的密码的明文啦。
开发人员必读:
你会做Web上的用户登录功能吗?
Web开发中需要了解的东西
安全是个系统工程,仅仅是密码不能保证安全,要结合短信、邮件验证来保护重要的操作。
参考资料:
由脱库攻击谈口令字段的加密策略——密码泄露事件杂谈之一
CSDN明文口令泄露的启示
Rainbow table
谈谈近期的安全事件
How To Safely Store A Password
相关微博
