网站用户信息泄露,只改密码根本没用!
已有 3602 次阅读
2011-12-28 10:35
|个人分类:杂文|系统分类:观点评述|
技术, 用户, 网站, 密码, MD5加密
最近两大著名网站,CSDN 和 天涯 的用户信息泄露事件炒的沸沸扬扬。相关网站都在提醒用户更改密码,可这真的有用吗?
很悲观的告诉大家,改密码基本没用!先不要说我危言耸听,且听我慢慢道来。
这次泄密事件,一个特点是网站数据库是用明文保存的用户密码,也就是数据库中直接存储的用户密码。这个危害是显而易见的,所以各个网站都说“我们现在都是用密文”的形式存储用户密码了,什么意思呢?就是说,现在数据库中存不再是用户的原始密码了,而是经过加密后的信息。比如,通过MD5加密之类的。
听上去似乎更安全了。可是如果仔细分析一下的话,心一下就会凉的。
1. 相关网站并没有在公告中说明,用户信息是如何泄露的,是否找到了网站的漏洞。那么,最新的信息还是很有可能在继续泄露中。
2.对用户密码进行密文存储,也无法保证用户密码信息的安全。
2.1 现有的密码加密技术,多是使用Hash函数,对原密码做个映射。由于Hash函数的特性,一定会存在碰撞的情况,也就是两个不同的用户密码经过Hash函数映射后,得到的结果却是相同的。
2.2 为了,尽量减少碰撞,Hash函数的设计就变的很困难,因此这些网站大多是不会自己设计Hash函数的,而是使用一些“著名的”被广泛使用的Hash函数。
基于以上两条,就有两种途径可以对加密的用户密码进行破解
1. 根据Hash的碰撞特性,不一定需要用户的原始密码,只要构造一个能产生Hash值相同的密码串就行了。
2. 由于是使用的共有hash函数,那么,完全可以通过构造 “密文--明文” 字典的方式,把一些常用的密码串的加密信息提前算出来,然后通过查表的方式获得用户的原始密码。
现在你有些同样我的标题了吧。那怎么办呢?
1. 治本的方法,相关网站仔细调查自己网站的漏洞,提高自己的安全级别。只是这需要很多资金的投入,现在基本看不到希望;
2. 用户尽量使用更长(10个字符以上),更复杂(大小写字母,数字,特殊符号),没有含义(什么生日呀,名字呀,他们的组合呀,都是不行的),做为自己的密码。并且不同网站使用不同的密码,且网站间密码没有关联性。
https://blog.sciencenet.cn/blog-483379-522869.html
上一篇:
互联网上的正义联盟下一篇:
郁闷