青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 知名程序员网站CSDN被黑个人密码安全策略 »

中国互联网的十二月大灾变

  开发者门户CSDN泄漏600万用户数据,其中包含极为敏感的用户名、密码。垂直游戏网站多玩网泄漏800万用户数据,大部分加密也有小部分明文保存,措手不及的用户们瑟瑟颤抖。

  紧接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等众多网站也都陷入用户数据泄漏丑闻,包括CSDN、人人网、新浪微博、QQ邮箱、知乎多个网站已经在消息披露后提升了安全等级,提醒可能被波及的用户更改密码。

  仅现在已经确认被波及的用户规模已经超过千万,本来大家都在在暖气房为年终报表、业绩数据里奔忙,现在不得不面对可能存在的未知威胁,并且你对威胁什么时候到来完全一无所知。

中国互联网的十二月大灾难

  连环泄漏像是有心人刻意为之

  在两天内,先是CSDN紧接着是多玩网,超过十家网站纷纷爆出用户资料泄漏丑闻,暂且不论那些未被证实的泄密网站有多少属实,仅就现在披露的数据已经引起了非常大规模的影响。

  这些大型网站通常已经有三年以上的历史,期间有机会接触用户信息的程序员不计其数,是否有泄密可能根本无据可查,更谈不上什么责任认定跟追究了。即便是报警也只能算是策略性行为,起不到太实质性的作用,在事件策划者自揭谜底之前,没有任何一个网站敢说自己是清白的。

  事件策划者既然敢曝露如此多的用户数据,必然做了足够多的自我保护措施,确保没有人能够找到他们的真实身份。至于策划这一事件究竟是为了什么,显然目前还没有清晰的答案,也许是为了攻击竞争对手,也许是为了转移大家的注意力,也许只是恶意黑客的玩笑而已。

  对互联网的影响远比想象中更深刻

  “我无法想象这些大网站无法保障我的信息安全,我的邮箱、支付宝、QQ都使用了相同的密码,这意味着黑客可以肆意去攻陷我的在线帐户”,这段话正是大多数普通用户心理的真实写照,在他们看来网站保障用户信息安全是理所当然的义务,普通用户可能会对在线服务失去信心。

  问题的核心是没有人知道自己是否受到影响,普通人并不会像程序员建立数据库导入SQL文件然后查询,也不知道自己日常使用的网站资料安全是否完备。通常被曝光的数量往往远大于真实存在的数量,没有人知道自己的帐号、密码、电子邮件、信用卡密码会不会被放在信封。

  这些帐号信息可能会对用户的关联帐户产生巨大危害,并且这样的危害基本是无法阻止的,因为大多数人对邮件使用了相同密码,你如果能够通过登陆及邮件更改密码,那么恭喜你,因为那些恶意攻击者也可以。

  更大的危害是,泄漏的用户数据可能被有心的黑客用作建设密码破解数据库(彩虹表),帮助恶意黑客们更有效攻陷在线帐户。甚至他们会基于此建立更有效的方式,利用社会工程学来突破传统保护系统的封锁。

  怎样的密码才是更安全的?

  网友对开发者门户CSDN泄漏的数据进行了分析,发现排名前三的用户密码是 “123456789”、“12345678”、“11111111 ”,这三个弱密码在泄漏密码中的占比高达10%。考虑到用户密码的的巨大差异性,这已经是一个非常高的比例。(CSDN有下载限制,所以很多账户建立的目的是下载,所以就是输入个不会忘的、简单的密码。这部分密码不可能是用户真实的常用密码。)

  弱密码是指简单容易被破解的密码,而且这还是在业内的开发者门户网站,在普通网站使用弱密码的用户比例可能更高。

  当然,作为用户有义务设置更高强度的密码,但是这些密码居然成功通过了CSDN网站的验证,大多数网站都具有弱密码检测功能,提示使用弱密码的用户更换更高强度的密码。这意味着大多数国内网站的弱密码检测功能都是存在尝试缺陷的,甚至仅仅是判断字符数而不包含必备的常规判断。

  那什么样的密码更安全?

  数字、大小写字母、符号相互组合,字符数越多越安全,但前提是不要给日常使用带来太多障碍。考虑到大多数网站已经配置记忆登陆功能,这并不是一个特别大的障碍。如果可能的话,重要帐户使用单独的密码,尽量定期更改敏感密码

  给互联网创业公司的安全警钟

  CSDN资料泄漏事件中,受到威胁的主要是早期注册并且没有更改过密码的用户,多玩网方面给出的回复大致相同。

  这样的情况在大多数创业公司存在,这次事件波及到的很多网站也是近几年才成长起来的创业公司。在初期由于人手、资源有限,大量的精力都被投入到运营与功能开发中,缺乏对用户资料的有效防护,容易忽略对用户资料安全的重视。

  然后他们做大之后会发现存在的安全隐患,然后腾出人手来修复存在的安全问题。但这次资料泄漏事件给创业公司敲响了警钟:用户的资料安全始终应该被放在足够重要的位置,否则可能会成为压倒骆驼的最后一根稻草。

  来源:RTdot锐推投递



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2936.html
  • 文章排行:
  • 1.exzhawk
  • 密码明文不一定是这些网站有鬼,不要忘记强大的后台哟~
  • 2011/12/23 10:39:43   支持(28)反对(11) 回复
  • 2.小鱼儿
  • 处处透露着一丝丝凉意……北-京微-博实名制!韩国的实名认证最后还是g-o-v妥协了!唉,继续关注月光了,看看月光会有什么评论了。快过年了,看来工信部也不能过个好年了!
  • 2011/12/23 10:38:40   支持(23)反对(8) 回复
  • 3.bucongzhiliao
  • 密码都是明文,我觉得这些案例的背后都是网站自己有鬼的,他们是给自己留下为窃取用户更多隐私而留的一个后门!!去年google为什么离开CN的
    几个yj人士的google邮箱被撬开,里面的资料被窃取
    gmail邮箱被撬开不外乎两个办法
    1,暴力破解
    2,密码泄漏
    密码泄漏,懂了吧?此处省略200字,明白了吧?
    fox 于 2011-12-24 14:08:50 回复
    全世界的政府都一样的,哪个国家不审查,google在美国一样乖乖的把用户信息给政府
  • 2011/12/23 10:33:36   支持(20)反对(8) 回复
  • 4.洋葱
  • GOV是宁愿我们资料被盗也要让我们实行网络实名制来加强对我们的控制。。。。。。。
  • 2011/12/23 12:26:44   支持(15)反对(7) 回复
  • 5.七夜
  • 其实那10%使用弱密码的用户反而安全,至少不会危及到他其他的账户。这种密码泄露也没关系,那些在这样的网站使用复杂密码和常用密码的就恐怖了!!
    lifecorner 于 2011-12-23 13:57:40 回复
    是的,真正懂的网络安全的才是好这些用弱密码的人,其他的都是菜B
    lifecorner 于 2011-12-23 14:00:00 回复
    很反感一些网站密码搞安全验证,要数字英文,符号。你这不扯蛋吗?这样我反而容易把自己重要密码泄露给你。现在最热门的那个卖手机的网站就是
  • 2011/12/23 13:53:09   支持(13)反对(8) 回复
  • 7.猪头博客
  • 感觉没有危及到我 ...
  • 2011/12/23 17:21:17   支持(11)反对(7) 回复
  • 8.博客通
  • 互联网正因为有了这些,才能不断成长~
  • 2011/12/23 20:06:32   支持(7)反对(3) 回复
  • 9.welcome
  • 技术越来越发达,什么样的东西不被破解
  • 2012/1/6 16:02:25   支持(11)反对(7) 回复
  • 10.生物醇油
  • 好可怕啊,真不可思议
    微微一笑 于 2012-5-23 17:06:04 回复
    我的密码找不到了
  • 2011/12/23 15:34:12   支持(12)反对(9) 回复
  • 11.Vccc
  • 按照这个阵仗,再复杂的密码都等于个蛋。
  • 2011/12/26 19:44:06   支持(10)反对(7) 回复
  • 12.Kerounist
  • 广州深圳也要开始实名制了……我可以说艹GOV吗?
  • 2011/12/23 11:12:41   支持(8)反对(6) 回复
  • 16.近视
  • 万事诚为首。。。我记得,我读高二的时候,提前参加高考,语文试题的作文题目是:诚信。。。那年,有一个才子,写的题目是:赤兔之死。。。
  • 2011/12/23 15:37:40   支持(7)反对(6) 回复
  • 18.qhj1020
  • 现在的技术越来越发达,什么样的东西不被破解啊
  • 2011/12/28 10:38:51   支持(9)反对(8) 回复
  • 19.SB
  • 明年的12月,那灾难就不止是在互联网上。
  • 2011/12/23 10:43:56   支持(6)反对(6) 回复
  • 20.泥水匠
  • 信息安全保护不了谈啥实名制.
  • 2011/12/23 11:22:47   支持(8)反对(8) 回复
  • 21.AlphaTr
  • 弱密码只是能提高被猜解出来的概率,在明文存储面前,什么密码都没用。
  • 2011/12/23 13:01:00   支持(8)反对(8) 回复
  • 22.编程入门
  • 泄露的sql文件根本不用导入数据库,直接用记事本打开就可以。
  • 2011/12/24 22:06:33   支持(6)反对(6) 回复
  • 23.Feeng
  • 这也从本质上反映了这些网站对用户的态度和用户的浅薄的安全意识。可悲。
  • 2011/12/23 10:23:23   支持(8)反对(9) 回复
  • 24.quzhouys
  • 确实,贼喊捉贼,有嫌疑啊!世道变了
  • 2011/12/23 11:22:29   支持(5)反对(6) 回复
  • 25.卓越之道
  • 汗,以前都没有注意这些问题。
  • 2011/12/24 14:19:05   支持(8)反对(9) 回复
  • 27.苍月
  • 我也觉得是有心人刻意为之~~~!
  • 2011/12/23 10:46:15   支持(8)反对(10) 回复
  • 28.Tracy
  • 连起码的隐私都保护不了,怎么让用户有安全感
  • 2011/12/23 11:03:10   支持(4)反对(6) 回复
  • 30.lx
  • 有600万邮箱地址直接扫号就足以造成很大危害
  • 2011/12/23 11:32:49   支持(5)反对(7) 回复
  • 31.网上买食用油
  • 我的YY号最近经常提示密码不正确!好恐怖哦,一点安全感也没有
  • 2011/12/23 12:54:38   支持(4)反对(6) 回复
  • 32.新发
  • 密码太简单了确实不好。
    密码也不要一致,确实要注意了
  • 2011/12/23 13:35:21   支持(6)反对(8) 回复
  • 34.无名
  • 泥马的,我的帐号虽然没有出现在网上流传的那个数据库里面。
    但是我身旁的同事纷纷中枪,改密码改得心惊胆颤的!!!
  • 2011/12/23 16:36:22   支持(7)反对(9) 回复
  • 35.士玉
  • 现在的互联网知明网站越来越多,信息也多了,泄露是早晚的事。估计以后互联网的世界会更加丰富了
  • 2011/12/23 17:13:28   支持(6)反对(8) 回复
  • 36.lifecorner
  • 扯淡啊,这么回复的帖子连同别人的也一起删了。那个贴子就说了弱密码的反而是安全的,这也删?你不脑残么
  • 2011/12/23 14:03:01   支持(5)反对(8) 回复
  • 38.土木坛子
  • 明文是为了审查的需要了。
  • 2011/12/23 16:42:51   支持(7)反对(10) 回复
  • 39.健康网址大全
  • 实名制还比较遥远。
  • 2011/12/23 17:47:41   支持(4)反对(7) 回复
  • 40.korige
  • ,普通人并不会像程序员建立数据库导入SQL文件然后查询,也不知道自己日常使用的网站资料安全是否完备。
    ----------------------------------------
    写的多不专业啊,程序员才不会去导什么鬼数据库,直接cat, grep效率多高啊..
  • 2011/12/24 14:01:06   支持(5)反对(8) 回复
  • 41.海东青
  • 感觉文章刚开了个头,又转向其他方面了,力道泄了
  • 2011/12/23 12:32:10   支持(7)反对(11) 回复
  • 42.lifecorner
  • 这明显是CSDN网站自己的行为。根本就不重视用户资料。这样的公司还不倒闭?

    106 楼 robbin 16 小时前
    daoyueming 写道
    R老大去了CSDN后,怎么也没解决明文密码?这会被架构师同行耻笑的。。。

    明文密码正是我去了以后才解决的。
  • 2011/12/23 13:08:17   支持(7)反对(11) 回复
  • 43.马丁靴
  • 估计是同一个黑客团体所为!
  • 2011/12/23 16:18:41   支持(5)反对(9) 回复
  • 44.浅蓝
  • 谁能想出不用密码登录又能安全的好办法?
    cc 于 2011-12-23 11:55:43 回复
    使用非对称加密,利用随机数进行签名验签。但是本地需要保存私钥
    58. 于 2011-12-24 0:26:16 回复
    就像银行的U盾就安全了
  • 2011/12/23 10:39:53   支持(6)反对(11) 回复
  • 45.利杰
  • 实名制之后,这种安全性更为重要
  • 2011/12/23 12:34:46   支持(6)反对(11) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.