【讨论】论坛密码的安全存储、方法及规范

CSDN密码泄露带来的灾难，我们应该反思些什么？？？
菜农两年前去《看雪软件安全论坛》是为HotWC3密码而战，此次是为HotWC3单向散列函数而战。
昨天与王育民教授约好，菜农将HotWC3论证，假若王老认为HotWC3不是游击队的战法，他老人家找人看看。
菜农一生清贫，无力30万元网上挑战，只有借助于王老这颗大树省略30万元。
不管HotWC3这次的生死，此时不出击要等待何时？？？
缩头乌龟就等于承认失败，成功则感谢CSDN为菜农省去30万！！！

欢迎大家参与讨论。

菜农HotPower@126.com 2011.12.12 于西安雁塔菜地

菜农在忽略安全的发源地开战：http://blog.csdn.net/hotwc3/article/details/7097091

HotWC3密码体系验证三个链接地址：
http://www.hotpage.net.cn/HotPower_HotAjax.html
http://www.hotpower.net/HotPower_HotAjax.html
http://www.hotpower.org/HotPower_HotAjax.html

即日起开通：
菜农HotWC3密码交流群：203534415

群课记录（内含水妹妹学习密码为写情书）：
CSDN密码被盗？看菜农讲解Hotpower之论坛加密
幼儿园玩具-第一篇
幼儿园玩具-第二篇

回应菜农在看雪论坛被“拷打的难题”

晕！！！看雪将俺封嘴了，怕俺删自己两年前在看雪开战的帖子，晕！！！

http://bbs.pediy.com/forumdisplay.php?f=132

菜农开战HotWC3,为密码的真谛而战 。为建微群《菜农HotWC3密码交流微群》，继续14名粉丝，请关注 http://weibo.com/hotwc3，谢谢！！！

菜农开战 ,  为密码而战 ?

走着，看着，说着，记着，佩服着。。。

记号，我事08年在CSDN注册的，但这次也没有泄露我的ID.... ;P

昨晚改密码到2点，坑爹呀，还将密码给俺改了，幸亏记得注册信息。
和王育民教授电话聊了58分钟。
俺认为“找回密码”就是个坑，它意味这密码是某种方式存放在网站的。
这次CSDN泄露的是明文密码，实际密文密码也是有被**的危险。

故菜农认为“找回密码”是不对的，HotWC3就设计为：
用户持有：用户名和密码。
网站持有：用户名和散列值。

HotWC算法公开，算法的密钥可以公开，散列值也可以公开，用户名本来就公开。
只有用户自己持有的用户密码不公开，且只有用户登录时键入。

正在考虑群校的免费门票的索取问题。
实际就是一个数字认证的问题。

看不懂，也顶顶

俺认为是密码的存储问题。

菜农认为：
用户应该持有用户名和用户密码两个参数。
网站应该持有用户名和用户注册散列值两个参数。

其中用户名双方是一样的，它是公开的。
网站用户注册散列值虽然对用户是不可见的，但是实际上也是公开的。
算法虽然在程序中，也是公开的。

总之只有用户密码一项是保密的，是用户登录时由键盘临时输入的。
登录时再次有输入程序将用户名与用户密码经过单向散列函数重新计算出散列值，
与网站数据库内存放的散列值搜索并比较，并于对应的用户名比较，两个参数都相同时则为合法用户。

由于从用户名及用户密码计算出散列值很容易，而从用户名及注册散列值中导出用户密码很难甚至是不可能的。

那么，网站存放的用户名及注册散列值公开了，也无法知道用户密码。只有这样才是安全可靠的。

吹牛X。。

吹牛X。。
李富贵 发表于 2011-12-24 03:48

哈哈，你来吹一个试试？？？

给菜农提个建议，先自己整个 HotWC3 的细致的规格书出来，再来请别人验证。
否则谁会耗费大把时间去验证一个规格都不明确的软件或算法。

给菜农提个建议，先自己整个 HotWC3 的细致的规格书出来，再来请别人验证。
否则谁会耗费大把时间去验证一个规格都不明确的软件或算法。
流行音乐 发表于 2011-12-24 16:33

俺在群里已经验证了，晚上会有人上传群课笔记

群课摘要：

用户手持：
用户名，用户密码
hothot       250

网站存储：
用户名，散列值
hothot   2AC99CA7841377FD

注册时，网站只将hothot存到
记录号为2AC99CA7841377FD
的地方

故论坛可以保存：
1.用户名
2.绑定手机
3.绑定邮箱
4.密码丢失提示
5.注册时的散列值（可以用数据库记录替代）

我认为：
4.密码丢失提示
这个也是漏洞，应该废除

密码丢失了咋办

20 年前电脑的 BIOS 和 Windows 就已经用“存储散列值”替代“存储密码”了，现在又提出这个技术，是否有新的改进？

这个 存储散列值，是否真的是不可攻克的？

多玩人人等网站用户数据泄露来源：中国信息安全博士网（http://www.secdoctor.com）[详细地址]：http://www.secdoctor.cn/html/zixun/redianxinwen/201112/23-15297.html

12月22日消息，自昨天有黑客在网上公开提供CSDN网站用户数据库下载后，包括人人网、猫扑、多玩等在内的网站部分用户数据库也被传到网上供用户下载。
国内知名黑客Goodwell对搜狐IT表示，预计泄露网站数据库的行为可能会引发连锁效应，更多网站的数据会被黑客放出。之前这类数据库通过网络地下交易，这些黑客可以取得收益。但由于很多用户的用户名及密码在各网站几乎一样，有黑客将某网站数据库放出后，其他黑客手里的数据库就没有价值。有些黑客出于各种目的，会放出其它网站的数据库，由此引发连锁效应。
Goodwell表示，网站不可能100%安全，对于有技术能力的人，登陆相关网站时，密码并不是唯一的。但是在有黑客放出网站的用户数据库信息后，没有技术能力的人，可能会对网站及其他用户产生很大的破坏性。同时，由于很多用户的用户名和密码大多一致，有可能会被这些人来刷其它网站的库，产生的影响会更大。如果要改变这个局势，网站需要强制所有用户更换他们的密码，并且采取独特的加密方式，以避免用户信息再次被泄露。
据称，很多网站并没有保护用户信息安全的意识，用户的数据信息在数据库里没有任何保护。Goodwell建议相关网站能够加强安全意识，从软硬件多方面强化信息保护。Goodwell对搜狐IT称，最彻底的保护方面，是更改网站静态密码的机制并在MD5基础上使用自己独有的加密函数等方法，同时及时修补系统漏洞。
随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。Goodwell表示，在实名制前提下，主管部门及网站应该出台相应的标准及保护机制，以安全地保护用户的隐私。如果在推动实名制而安全保护机制无法跟上的情况下导致信息泄露，会使用户对网站及机构产生信任危机。
Goodwell同时建议用户在上网的时候也要加强自我安全保护意识。在上网时，用户最好根据不同的网站设置不同的密码。为了方便**，密码最好根据网站的域名做相应变化。
来源：中国信息安全博士网（http://www.secdoctor.com）[详细地址]：http://www.secdoctor.cn/html/zixun/redianxinwen/201112/23-15297.html

Goodwell对搜狐IT称，最彻底的保护方面，是更改网站静态密码的机制并在MD5基础上使用自己独有的加密函数等方法，同时及时修补系统漏洞。

自己独有的加密函数

这句话也是老外！！！算法必须公开，只要涉及人的都有泄密的可能。

菜农再玩几天去让王老找密界高人。