打印

网曝600万CSDN注册用户的密码泄漏一事,大家有没有中招的?

[复制链接]
4234|24
手机看帖
扫描二维码
随时随地手机跟帖
沙发
wukunshan| | 2011-12-23 15:56 | 只看该作者
我的没有,:lol

使用特权

评论回复
板凳
zoomone| | 2011-12-23 16:24 | 只看该作者
我中了 密码丢了:'(

使用特权

评论回复
地板
xiaotann| | 2011-12-23 16:35 | 只看该作者
打天下

使用特权

评论回复
5
hotpower| | 2011-12-23 17:15 | 只看该作者
本帖最后由 hotpower 于 2011-12-24 03:43 编辑

俺被异地登录并被改了密码。最后靠注册时留下的提问才又改回了密码!

使用特权

评论回复
6
NE5532| | 2011-12-23 20:25 | 只看该作者
二姨是否该考虑给斑竹们启用USB证书了…………

使用特权

评论回复
7
后学| | 2011-12-23 21:01 | 只看该作者
看来我知名度不高

使用特权

评论回复
8
john_light|  楼主 | 2011-12-23 21:31 | 只看该作者
China的程序员宅男差点被分析个底儿掉;P

使用特权

评论回复
9
guanxiaolong| | 2011-12-23 22:00 | 只看该作者
换点积分,没积分,下不了东西

使用特权

评论回复
10
zhoubojay| | 2011-12-23 22:22 | 只看该作者
俺也中招了:Q

使用特权

评论回复
11
程序匠人| | 2011-12-23 23:44 | 只看该作者
程序员的大本营居然被人抄了老窝。这事说出去有点丢人啊。。。。

使用特权

评论回复
12
hotpower| | 2011-12-24 02:20 | 只看该作者
俺认为是密码的存储问题。
菜农认为:
用户应该持有用户名和用户密码两个参数。
网站应该持有用户名和用户注册散列值两个参数。

其中用户名双方是一样的,它是公开的。
网站用户注册散列值虽然对用户是不可见的,但是实际上也是公开的。
算法虽然在程序中,也是公开的。

总之只有用户密码一项是保密的,是用户登录时由键盘临时输入的。
登录时再次有输入程序将用户名与用户密码经过单向散列函数重新计算出散列值,
与网站数据库内存放的散列值搜索并比较,并于对应的用户名比较,两个参数都相同时则为合法用户。

由于从用户名及用户密码计算出散列值很容易,而从用户名及注册散列值中导出用户密码很难甚至是不可能的。

那么,网站存放的用户名及注册散列值公开了,也无法知道用户密码。只有这样才是安全可靠的。

使用特权

评论回复
13
NE5532| | 2011-12-24 11:52 | 只看该作者
确实比较丢人,相关的程序员应该剔除出这个行业。建议二姨发挥硬件特长,取消用户名密码,用硬件狗登录~!哈哈哈~!

使用特权

评论回复
14
john_light|  楼主 | 2011-12-25 20:46 | 只看该作者
俺认为是密码的存储问题。

其中用户名双方是一样的,它是公开的。
网站用户注册散列值虽然对用户是不可见的,但是实际上也是公开的。
算法虽然在程序中,也是公开的。

总之只有用户密码一项是保密的,是用户登录时 ...
hotpower 发表于 2011-12-24 02:20

其实md5($password+$salt)也达到较高强度了,主要是天朝的生存需要,必要时得向管理者提供用户密码。

比如,大家的QQ聊天信息也是随时可查的。

使用特权

评论回复
15
hotpower| | 2011-12-26 07:45 | 只看该作者
转载:天涯密码完蛋了,二姨家的不会是明文吧

http://tech.163.com/11/1225/20/7M58RHG5000915BF.html

天涯社区4000万用户明文密码遭泄漏

DoNews 12月25日消息(记者 卢林嘉)继12月22日国内最大的开发者社区CSDN.NET的用户密码遭到黑客泄漏之后,25日下午国内知名的社区网站天涯网的用户隐私也遭到黑客泄漏,据了解此次被泄漏用户数量达到4000万。

25日下午有网友向DoNews爆料称国内知名社区网站天涯网被黑客攻击,有4000万用户的密码遭到黑客泄漏,与之前CSDN被泄漏的信息一样,天涯被泄漏的用户密码全部以明文方式保存,但是数量之大的确令人乍舌。

记者在第一时间与天涯网取得联系,据天涯网相关负责人介绍,由于历史原因,天涯社区早期使用过明文密码,2009年11月修改了密码保存方式,改成了加密密码,但部分老的明文密码未被清理。此次遭到黑客泄漏的用户便是2009年11月升级密码保存方式之前所注册的用户,据悉,天涯网目前共有6000万注册用户,而此次泄漏的用户数量达到总数的60%以上。

天涯强调,2011年5月12日天涯网升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题。

关于天涯社区用户账号被泄露的声明:
由于历史原因,天涯社区早期使用过明文密码,此次被盗的数据为2009年之前的备份数据。2010年之后,我们升级改造了天涯社区用户账号管理功能,使用了强加密算法,解决了天涯社区用户账号的各种安全性问题,未来我们将不断升级和完善用户安全系统。

对用户的致歉信
尊敬的天涯社区用户:


我们非常抱歉地通知您,近日由于遭受黑客攻击,有多家网站的部分用户数据库外泄,天涯也是受害网站之一。为确保您的隐私及帐户安全,在此,我们恳请您尽快修改天涯社区相关帐户的密码。我们已经在个人微博首页发出提示修改密码的公告。

如果您在其他网站也使用同一密码,请务必同时修改更新。

目前天涯社区已向公安机关报案,公安机关也正在调查相关线索。

再次向您致以深深的歉意!

使用特权

评论回复
16
hotpower| | 2011-12-26 07:47 | 只看该作者
确实比较丢人,相关的程序员应该剔除出这个行业。建议二姨发挥硬件特长,取消用户名密码,用硬件狗登录~!哈哈哈~!
NE5532 发表于 2011-12-24 11:52


硬件狗登录肯定不现实,够麻烦的,整日牵个小狗,时常要喂狗~~~

使用特权

评论回复
17
xwj| | 2011-12-26 08:52 | 只看该作者
一再强调什么单向散列、责怪没加密,就没人想想即使加密也是能爆的吗?只是难度系数增加点罢了。

41楼:
即使MD5、DES等加密,对于黑客,数据库都到手了也就意味着管理员的一切权限、密码都到手了。毕竟用那套80T的光盘或者在线查询的话,93%以上的密码都是秒杀。而这600**有几个是复杂超长密码的? 明文只不过是让别人不需任何附加精力就能全部曝光你的全部用户名和密码罢了。也只能说csdn的运气太差了,碰到这么没品的垃圾黑客。 加班到深夜,精神疲惫的我为了发泄心中的苦闷,冲到空无一人的楼梯间高唱了一句:在那山的这边海的那边有一群蓝精灵!忽然,楼下传来一个哀怨的声音:他们苦逼又聪明,他们加班到天明……

47楼:
http://www.cmd5.com/
很强悍啊
论坛游客 发表于 2011-12-22 10:46

所以,即使csdn不明文存储,别人也只是买套光盘然后写个软件查询下的问题,然后泄露500万条绝对是很轻松的事情。这个事情一样会爆发。

到时,
500万和600万有区别吗?

使用特权

评论回复
18
hotpower| | 2011-12-26 10:18 | 只看该作者
菜农认为网站数据库应该存储的注册信息


实际存储方式有问题。
首先要明白一个概念性的问题:
加密只有解密(**)的问题,散列只有碰撞(伪造)的问题。


对于一个散列数,实际碰撞和很多的,且有一定规律可寻,正如王晓云教授找到MD5碰撞的规律。


我们可以用一个日常生活来举例,攻破巨型数据库查表问题:


某日必定对应一个星期,例如今天是周一。
星期的周期是7天,即每7天为某星期几。
但是星期几却不知是具体的某日。


假若用数据库来存储星期散列数0~6(周日周一~周六),那么要存储多少日期???
故无法实现,即使可行也不现实。


HotWC3单向散列函数就是基于碰撞实现的,某个散列值对应巨多的原文信息。
即多对一的问题,就是日期和星期的关系。无法查表。


而且原文信息变长,这是散列函数的特性。
任意长度的原文信息都会经过散列函数被散列为固定长度的散列值。
从一个方向运算很容易,而从另一个方向运算很难。



故只有知道了用户密码才很容易计算出散列值,反之从散列值还原出用户密码几乎不可能实现。因为碰撞很多,而只有一个是对的。


菜农的CRC安全密码就是基于碰撞实现的。

使用特权

评论回复
19
john_light|  楼主 | 2011-12-26 10:48 | 只看该作者
目前,密码泄漏的新闻热度好像已经超过各校车事件,该不会是视线转移的手段吧?

使用特权

评论回复
20
hotpower| | 2011-12-26 12:01 | 只看该作者
本帖最后由 hotpower 于 2011-12-26 12:03 编辑

HotWC3网上单向散列函数验证:http://www.hotpage.net.cn/HotPower_HotAjax.html


用户hotpower手持:
用户名:hotpower,用户密码:250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:hotpower
用户密码注册长度:3
散列数:8917DEF303D5B0E3 【上图中点击运算后的“结果”】


再举例:


用户程序匠人手持:
用户名:程序匠人,用户密码:250*250

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:程序匠人
用户密码注册长度:7
散列数:12EE81D2FECE8CED 【上图中点击运算后的“结果”】

再举例:

用户水清音手持:
用户名:水清音,用户密码:GGMM

网站www.21ic.com掌握:
网站特定码:www.21ic.com
用户名:水清音
用户密码注册长度:4
散列数:4BEAEE34E6B8789B 【上图中点击运算后的“结果”】

从上面的三个例子可以看出“密码注册长度”是非常重要的,只有满足这个条件之一的才是真正的散列数。
假若不限定密码注册长度,那么会有千百万个碰撞发生,伪造的概率将急剧增大且缩短攻击次数即攻击时间。

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

个人签名:这是俺在自留地里种的几棵ARM/Linux/MySQL/PHP苗

34

主题

1094

帖子

2

粉丝