打印
[HotWC3]

CSDN密码被盗?看菜农讲解Hotpower之论坛加密

[复制链接]
5628|22
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
zxcscm|  楼主 | 2011-12-22 13:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 hotpower 于 2012-9-22 13:17 编辑

密码加密问题是各大论坛和网站的优先考虑的问题,它关系到用户的切身利益,在各种网银和网购如此盛行的情形下,甚至会威胁用户的财产安全。
昨天CSDN的密码泄露问题显然在网络上引起轩然大波,还好CSDN负责地即使进行了修复,但是,那被盗的600万用户会是什么感受,不过我想这些用户大都是IT电工,对此不会有多少损失,顶多改改密码。
深谙密码算法的菜农大叔可坐不住了,开始在群里开讲如何使用Hotpower给论坛密码加密,正好借这个机会,可以学习下Hotpower的使用方法,因为每次俺打开Hotpower都会吓一跳,看着那么多按钮,真不知如何下手。
下面就跟着菜农大叔一起学习吧

还有菜农大叔手把手教水妹妹,更重要的是还教水妹妹写情书!!!
菜农讲解Hotpower之论坛加密.rar (1.24 MB)

相关帖子

沙发
缥缈九哥| | 2011-12-22 19:06 | 只看该作者
顶起。

使用特权

评论回复
板凳
hotpower| | 2011-12-22 19:51 | 只看该作者
还有菜农大叔手把手教水妹妹,更重要的是还教水妹妹写情书!!!


不错!!!

楼主人品没问题,菜农越权奖励北航图书一本,以资鼓励!!!

北航出版社每月赞助本助学园地优秀笔记科技图书如下:

使用特权

评论回复
地板
vv123456| | 2011-12-22 19:53 | 只看该作者
:'(

使用特权

评论回复
5
zxcscm|  楼主 | 2011-12-22 21:34 | 只看该作者
晚辈也是看到菜农大叔的辛苦,由衷的敬佩,也就弄点力所能及的表示一下。
没想到菜农如此慷慨,晚辈真的受宠若惊啊:$

其实俺对菜农大叔的书早就垂涎欲滴了,那就不客气了,选:王宇宁的《ARM程序分析与设计》
要怎么得到呢?

使用特权

评论回复
6
毅如靳往| | 2011-12-22 22:06 | 只看该作者
学习了

使用特权

评论回复
7
hotpower| | 2011-12-23 01:28 | 只看该作者
#CSDN密码泄露#菜农开战HotWC3,为密码的真谛而战 。为建微群《菜农HotWC3密码交流微群》,急需14名粉丝,请关注 http://weibo.com/hotwc3,谢谢!!!

使用特权

评论回复
8
plc_avr| | 2011-12-23 07:31 | 只看该作者
顶!

使用特权

评论回复
9
hotpower| | 2011-12-23 07:43 | 只看该作者
菜农开战HotWC3,为密码的真谛而战 。为建微群《菜农HotWC3密码交流微群》,继续14名粉丝,请关注 http://weibo.com/hotwc3,谢谢!!!

使用特权

评论回复
10
Swallow_0322| | 2011-12-23 07:49 | 只看该作者
顶!

使用特权

评论回复
11
hotpower| | 2011-12-23 08:22 | 只看该作者
昨晚迷糊的很早了。新浪坑爹,要100个粉丝才能建群。
不过也是,没粉丝要群干什么?
谢谢“互粉”,晕!

使用特权

评论回复
12
ccmc| | 2011-12-23 08:27 | 只看该作者
这个...数据库被泄... 你怎么加密都没用

使用特权

评论回复
13
zxcscm|  楼主 | 2011-12-23 09:07 | 只看该作者
估计楼上还没明白加密的意思,
将用户密码加密后,数据库只存密文,数据库管理员都不可能知道用户密码的,即使泄露了数据库,用户密码也不会被泄露

使用特权

评论回复
14
0601| | 2011-12-23 11:15 | 只看该作者
但愿二姨家很坚固

使用特权

评论回复
15
lixupengarm| | 2011-12-23 11:35 | 只看该作者
学习!!

使用特权

评论回复
16
fq1110| | 2011-12-23 12:59 | 只看该作者
微博不会玩了,已经添加关注了。微博打不开啊。还想进去学习学习了。

使用特权

评论回复
17
hotpower| | 2011-12-23 22:49 | 只看该作者
hotwc3论坛即邮箱密码最大的特点是不网站数据库没不存储用户密码,
而是存储的是用户登录时经过hotwc3计算出来的单向散列值而非用户密码!
用户持有的是用户名和用户密码。
网站拥有的是用户名和散列值。
从用户名和用户密码计算出散列值很容易。
反之,从用户名和散列值只能用穷举得出多个用户密码,即有很多的碰撞。。

使用特权

评论回复
18
hotpower| | 2011-12-24 02:48 | 只看该作者
俺认为是密码的存储问题。
菜农认为:
用户应该持有用户名和用户密码两个参数。
网站应该持有用户名和用户注册散列值两个参数。

其中用户名双方是一样的,它是公开的。
网站用户注册散列值虽然对用户是不可见的,但是实际上也是公开的。
算法虽然在程序中,也是公开的。

总之只有用户密码一项是保密的,是用户登录时由键盘临时输入的。
登录时再次有输入程序将用户名与用户密码经过单向散列函数重新计算出散列值,
与网站数据库内存放的散列值搜索并比较,并于对应的用户名比较,两个参数都相同时则为合法用户。

由于从用户名及用户密码计算出散列值很容易,而从用户名及注册散列值中导出用户密码很难甚至是不可能的。

那么,网站存放的用户名及注册散列值公开了,也无法知道用户密码。只有这样才是安全可靠的。

使用特权

评论回复
19
vv123456| | 2011-12-24 21:08 | 只看该作者

使用特权

评论回复
20
hotpower| | 2011-12-25 08:23 | 只看该作者
多玩人人等网站用户数据泄露来源:中国信息安全博士网(http://www.secdoctor.com)[详细地址]:http://www.secdoctor.cn/html/zixun/redianxinwen/201112/23-15297.html

12月22日消息,自昨天有黑客在网上公开提供CSDN网站用户数据库下载后,包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载。
国内知名黑客Goodwell对搜狐IT表示,预计泄露网站数据库的行为可能会引发连锁效应,更多网站的数据会被黑客放出。之前这类数据库通过网络地下交易,这些黑客可以取得收益。但由于很多用户的用户名及密码在各网站几乎一样,有黑客将某网站数据库放出后,其他黑客手里的数据库就没有价值。有些黑客出于各种目的,会放出其它网站的数据库,由此引发连锁效应。
Goodwell表示,网站不可能100%安全,对于有技术能力的人,登陆相关网站时,密码并不是唯一的。但是在有黑客放出网站的用户数据库信息后,没有技术能力的人,可能会对网站及其他用户产生很大的破坏性。同时,由于很多用户的用户名和密码大多一致,有可能会被这些人来刷其它网站的库,产生的影响会更大。如果要改变这个局势,网站需要强制所有用户更换他们的密码,并且采取独特的加密方式,以避免用户信息再次被泄露。
据称,很多网站并没有保护用户信息安全的意识,用户的数据信息在数据库里没有任何保护。Goodwell建议相关网站能够加强安全意识,从软硬件多方面强化信息保护。Goodwell对搜狐IT称,最彻底的保护方面,是更改网站静态密码的机制并在MD5基础上使用自己独有的加密函数等方法,同时及时修补系统漏洞。
随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。Goodwell表示,在实名制前提下,主管部门及网站应该出台相应的标准及保护机制,以安全地保护用户的隐私。如果在推动实名制而安全保护机制无法跟上的情况下导致信息泄露,会使用户对网站及机构产生信任危机。
Goodwell同时建议用户在上网的时候也要加强自我安全保护意识。在上网时,用户最好根据不同的网站设置不同的密码。为了方便**,密码最好根据网站的域名做相应变化。
来源:中国信息安全博士网(http://www.secdoctor.com)[详细地址]:http://www.secdoctor.cn/html/zixun/redianxinwen/201112/23-15297.html

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

5

主题

628

帖子

1

粉丝