网络惊现"密码门"
"全中国的程序员都在疯狂地改密码。"网友"谢昊"的这条微博并不夸张,12月11日,中国最大的程序员社区,csdn的数据库的600万条账号密码被黑客公开。
但是,谁又曾想到,这仅仅是冰山一角,之后,天涯社区、猫扑、开心网、多玩等多家知名互联网公司的客户注册信息库均被泄密。大量包含用户邮箱、手机号码等个人信息的数据被公开陈列在网络上,随意供人下载。据网络安全厂商的监测数据显示,有上亿账户密码已被公开暴露。
1. csdn用户库只是第一个被玩儿残了的库,某些人玩腻了丢出来看戏罢了。
2. 对大样本来说,密码做md5存储和明文存储基本没有区别;即使做了salt再散列也一样有别的办法取得明文密码。
3. csdn网站服务器曾被人挂了shell整整两年没有被发现。
4. 这只是开始,远远还未到结束。岁末应该还会有更劲爆的消息吧?
公布出来的泄漏只是冰山一角,国内大多数网站安全管理都不到位,反映在以下几方面:
第一,很多从事网管工作的技术人员本人都没有正确的网络安全观念,俺经常见到技术人员自己的电脑中病毒中木马,连自己都保护不好的人怎么能保护别人?
第二,很多网站对于用户安全与隐私这种与直接经济效益无关的事情,总是放在最末位去考虑,甚至根本不考虑,国内对于此类案件,也没有有效的惩罚索赔机制,所以泄漏了用户隐私几乎不用承担责任,别说网站了,银行电信照样很多泄漏用户隐私的事件,可曾见他们赔过一毛钱没有?这种环境下谁为保护用户隐私而投资谁是傻瓜。
第三, 很多网站为了快速上线运营,都是拿现成的代码稍加修改,匆忙上线, 即使自己搞架构,也不过是拿几个现成的开源系统拼凑在一起组成自己的一套系统。对于加密解密,单点登录,甚至用户权限管理都是拿来主义,所以各家的安全系统其实都差不多,搞定一家基本上就能到处搞定。
我的看法:这是意料之中的事情。
首先,对国内网站的安全性本来就不会报很高期望。所以我一直恪守一号一密原则,换句话说,每个不同的网站的不同的用户名,我的密码都肯定不同。(关于如何记住成千上万个密码那就是另外一个话题了)
其次,这更说明了安全是一种自身意识,靠别人与靠产品都是靠不住的。只有黑客级的程序员才能理解。靠谱的程序员要么是混邮件列表的,要么是混国际网站的,国内网站那点信息泄了就泄了,只当是个教训。
这个教训就是:叫你在不同网站用相同密码!
其实这场事件在国内外一些黑客论坛上都是这样认为的。
1.中国政府强制微博实名制宣布开始
2.名人微博帐号开始大规模被盗
3.新浪开始限制登录,同天csdn600万库流出
4.第二天,许多其他或新或旧的库开始广泛流传(主要是7个)
5.第三天,有多个黑客宣称夺取3e腾讯数据库(4.74g)和支付宝淘宝等敏感数据库。
6.网友向政府实名制安全性施压。
所以说这场事故完全针对网络实名制