在路上.......分享 http://blog.sciencenet.cn/u/longxie1983 一念嗔心起,百万障门开

博文

网站用户信息泄露,只改密码根本没用!

已有 3602 次阅读 2011-12-28 10:35 |个人分类:杂文|系统分类:观点评述| 技术, 用户, 网站, 密码, MD5加密

最近两大著名网站,CSDN 和 天涯 的用户信息泄露事件炒的沸沸扬扬。相关网站都在提醒用户更改密码,可这真的有用吗?

很悲观的告诉大家,改密码基本没用!

先不要说我危言耸听,且听我慢慢道来。

这次泄密事件,一个特点是网站数据库是用明文保存的用户密码,也就是数据库中直接存储的用户密码。这个危害是显而易见的,所以各个网站都说“我们现在都是用密文”的形式存储用户密码了,什么意思呢?就是说,现在数据库中存不再是用户的原始密码了,而是经过加密后的信息。比如,通过MD5加密之类的。

听上去似乎更安全了。可是如果仔细分析一下的话,心一下就会凉的。

1. 相关网站并没有在公告中说明,用户信息是如何泄露的,是否找到了网站的漏洞。那么,最新的信息还是很有可能在继续泄露中。

2.对用户密码进行密文存储,也无法保证用户密码信息的安全。

2.1 现有的密码加密技术,多是使用Hash函数,对原密码做个映射。由于Hash函数的特性,一定会存在碰撞的情况,也就是两个不同的用户密码经过Hash函数映射后,得到的结果却是相同的。
2.2 为了,尽量减少碰撞,Hash函数的设计就变的很困难,因此这些网站大多是不会自己设计Hash函数的,而是使用一些“著名的”被广泛使用的Hash函数。

基于以上两条,就有两种途径可以对加密的用户密码进行破解
1. 根据Hash的碰撞特性,不一定需要用户的原始密码,只要构造一个能产生Hash值相同的密码串就行了。
2. 由于是使用的共有hash函数,那么,完全可以通过构造 “密文--明文” 字典的方式,把一些常用的密码串的加密信息提前算出来,然后通过查表的方式获得用户的原始密码。

现在你有些同样我的标题了吧。那怎么办呢?

1. 治本的方法,相关网站仔细调查自己网站的漏洞,提高自己的安全级别。只是这需要很多资金的投入,现在基本看不到希望;
2. 用户尽量使用更长(10个字符以上),更复杂(大小写字母,数字,特殊符号),没有含义(什么生日呀,名字呀,他们的组合呀,都是不行的),做为自己的密码。并且不同网站使用不同的密码,且网站间密码没有关联性。



https://blog.sciencenet.cn/blog-483379-522869.html

上一篇:互联网上的正义联盟
下一篇:郁闷
收藏 IP: 202.161.43.*| 热度|

1 王涛

该博文允许注册用户评论 请点击登录 评论 (5 个评论)

数据加载中...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-12-29 04:11

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部