CSDN被爆库提醒我们关注密码安全

/ 36评 / 0

12月21日,国内知名程序员网站CSDN遭到黑客攻击并在网上公开了CSDN网站用户数据库,包括600余万个明文的注册邮箱帐号和密码。22日,网上更曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站也采用明文密码,用户数据资料被放到网上公开下载。21日,CSDN在网上发表了致歉声明,声明中称CSDN网站早期使用过明文密码,后来的程序员始终未对此进行处理。

2009年4月程序员修改了密码保存方式,改成了加密密码。声明中表示,CSDN帐号数据库从2010年9月开始全部都是安全的,9月之前的有可能不安全,泄露原因正在调查中。不过CSDN的声明遭到了质疑,最大的质疑就是CSDN明文存储密码的做法,这意味着只要能打开数据库文件的人,即使不是IT技术高手,也可以像查看记事本一样获取被盗用户的信息,“打开了保险柜就可以拿到现金”。

23日凌晨金山毒霸官方微博发布声明,承认21日在迅雷提供CSDN数据库下载的发布者(迅雷ID:hzqedison),是金山毒霸产品经理韩某。可以说这次CSDN这次“泄密门”是近年来互联网上最大规模的一次用户资料泄露事件。他在迅雷快盘上分享了大小104.85M名为“CSDN-中文IT社区-600万.rar”的文件,后经下载证实确实为CSDN泄密数据包。而hzqedison发现事态严重性后,删除了该分享链接。hzqedison通过微博表态称,自己看到某人发了CSDN数据库文件的迅雷下载链接,于是进行了处理,目前已将该文件删除。但他拒绝承认是自己最早泄露用户数据。金山公司相关人员则表示,此事是该产品经理在做分析工作时,操作不当造成的,并不像网上所说的那样,恶意传播。金山网络还强调,该员工上传密码库“绝无主动进行传播,事实上hzqedison生成的分发链接仅供身边少数同事自查,但不慎被外人获知。”金山还称已“掌握了始作俑者的部分资料,其他证据仍在搜集中,很快就会提交给警方。”

网上随之开始了“CSDN杯我最喜欢的CSDN密码评选”活动...经过网友认真审核,评选出程序员最爱的密码mm前三甲为yan(燕)、mei(梅)、jing(静)、最常用的密码为“123456789”。分析发现,国内网民的密码安全意识十分薄弱。CSDN高达640万个账户信息被曝光后,有人对此进行了统计,结果显示有239万人的密码和别人存在重复。在所有密码中,最简单好记的“123456789”使用率最高,有23.5万人在使用;其次为“12345678”有21万多人使用;“11111111”有7万多人使用。总之,使用相同数字或者相同字母如“aaaaaaaa”等安全性极差的密码的网民大有人在。不少网民在众多网站中都使用相同的账号和密码,如果密码安全性很差,尝试几次不需要黑客就可破解,一旦一家网站用户数据被暴露,网民的邮箱、社交网站、微博等个人私密性很强的信息极易被泄露。错误者建议大家尽快修改安全性更高的上网密码并且分开重要与非重要的两种账号。使用2个邮箱来绑定或申请网络服务,重要服务用重要邮箱来申请,一般服务用次要邮箱来申请。二者绝不混用。重要的例如网银,QQ,支付宝,PayPel之类,非重要的例如论坛,微博等没有涉及财产或者丢失还可以再行注册的网站。这两者的邮箱和注册密码都尽量不用同一个即可很大程度规避风险。就我个人来说就是这样做的,最多时候记得2010年热衷于注册邮箱有超过十个邮箱,后来慢慢发现真的用不到这么多邮箱,于是开始缩减到现在的三个,其中一个专门用来WordPress博客间的联络,还有一个专门用于网银和支付相关,而另一个作为身份的象征正常收发邮件,各个密码当然不会是“123456”之类的且每个都并不相同。

关于密码的设置,并非越复杂越好。密码强度的关键在于密码长度。密码的长度越长则需要耗费的破解时间随之以数量级增加。举个例子,假设密码长度的单位为比特,8个比特即为一个字节(即输入密码时的一个字符,一个字节可以代表256个不同字符),如果某台超级计算机的计算能力为每秒能完成 2 56 次组合运算,破解8个字符组成的密码仅需4分16秒。当密码长度达到16个字符的时候,暴力破解它需要 149,745,258,842,898 年!要知道太阳的寿命也只有约10,000,000,000 年,而目前世界上速度最快的计算机K Computer也只能每秒完成约 2 53 次运算。当然,这只是一个极端化的例子。事实上,我们可以用来当密码使用的字符只有 95 个( 26 个小写字母 + 26 个大写字母 + 10个数字 + 33个标点符号)。(选摘自果壳有意思

通过这次CSDN和多玩爆库事件提醒我们要关注密码安全除了依靠互联网服务提供商以外,自己也不可欠缺安全意识。

  1. 亚洲飞鹰说道:

    不要雷同就好

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注