西西河

主题:【讨论】虎!虎!虎!大量网站账号密码大量泄露 -- 狡猾的史倍思

共:💬29 🌺50
全看树展主题 · 分页首页 上页
/ 2
下页 末页
家园 天没天理人没人性阿

所谓人心不古,天没天理人没人性阿。所谓双手分开生死路,一刀了断是非根

过年去珠海。

家园 这次泄露的库,应该在黑客圈里面已经流传过一段时间了

从各种迹象来看,这个猜测是合理的。

甚至很多人怀疑泄露的内容仅仅是冰山一角。

家园 网络环境不好啊

发现自己中招

家园 江湖险恶,建议不要公开传播

安全第一,安全第一。

另外,大范围传播对没来得及改密码的用户也不好,虽然我们不能为此做些什么,但至少可以不去推波助澜。

家园 PSN事件的天朝版, 同一伙人的作品

这伙人该就是帝国的网军吧. 电商和银行系统是下一个目标.

家园 哈,神预测

确实,当当和京东也麻烦了。最吓人的是多家银行也有泄密传闻,简直让人怀疑2012要到了。

http://news.163.com/11/1229/13/7MENMOVF00014AEE.html

家园 明文密码就象当年土炼钢炉

是经济大跃进带来的不专业表现。

如果真的仔细,较真的话,中国经济各领域类似的问题恐怕远不止一个明文密码。

很多问题本质上都是类似的,甚至就是同一种问题。

家园 银行信用卡那个已经辟谣了
家园 乌云关站了

这次事情乌云也在风口浪尖,不知道对剑心来说是福还是祸

家园 我一直怀疑这次的事情是某些地下黑客组织出现问题了

实际上,某些地下黑客组织手里都会有很多网站的数据库。这次泄漏的数据是按照CSDN的说法是备份数据,时间比较早。一般来说,最先被入侵的会是提供服务的web服务器,现在这样的工具比较多,做过web程序的人都会知道,搞定web服务器,就可以拖数据。网站一般都不会将数据文件和程序文件存放在一个服务器中,更何况是备份数据,想拿到备份数据需要先获得一台服务器的权限,之后再搞定内网。如果是这样,那麻烦就更大了。同时,在这么短时间内搞定这么多大网站基本是不可能的。

另外,最好不要把邮箱密码和论坛的密码都用一个。注册网站的邮箱也不要用日常用的邮箱,话说网络上有很多的人都是非常喜欢窥探隐私的。

正如地心毁灭里面那个黑客说的,我只会一种语言0和1,但是却可以知道你的各种xx隐私。

家园 再详细讨论一下

很多人觉得有可能是由于“上级有关部门”的要求而这么做,个人对此表示怀疑,因为没有这么做的动机。

同意。即使有必要时能获得密码的要求,也可以采用比较弱的加密方法。这里的比较弱,是指拥有大量计算资源后方可破解的密码。当年美国DES密码就因为考虑到需要保证美国政府可破解,而只选用了56位的密钥长度。因为计算机的发展,包括最近的云计算,越来越多的安全密码也将变得不安全。

结果立刻就有人直接对着那个md5列表,报出了这些密码的原文
这段详细的信息我没看到。不过按道理说,md5是一种安全hash算法。从md5之后的值来唯一恢复密码是不可能的。原因是多个密码都可以对应到相同的md5。但是不要紧,因为这种情况下,网站都是先计算密码的md5之后再和数据库里的md5相比较来确定密码是否正确。所以只要你能找到一个密码生成同样的md5值就可以了。而md5算法也已知是不安全的,即容易找到这样一个密码。估计原文里列出的就是这样找出密码。不一定是原密码。但一样能用。

无论如何,把自己的密码数据库里的数据放在网上实在是脑残的不能再脑残的做法了。

家园 明文密码太常见了,关键是对此没有任何监管,无论国内国外

国外的大型网站可能会正规些,但大量中小网站也是大量采用明文密码的。

家园 银行的帐号库如果泄露的话

就那6位数字的密码怎么加密也没用。

家园 想设计一个好的加密模式并不容易

首先面对的就是一个如何保存密钥的问题。我也见过不少号称加密的东西把密钥硬编码在代码中或者干脆存在配置文件中。这样的加密对黑客来说和明文没有什么区别。

其次,密码加密使用什么算法,验证身份的流程也是一个大问题。再考虑到如果密文泄露如何保护其中的弱密码等等,这些都不是仅会简单得数据库访问的程序员能搞明白的事情。

不过,话说回来,如果整个帐号数据库都能被拷走,那神马设计都是浮云啊。

全看树展主题 · 分页首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河