|
新聞來源:原創 在CSDN密碼泄漏事件中,網友評論提到密碼的明文保存和MD5保存問題。目前,很多站點都用MD5算法保存密碼,但對于HASH(哈希)算法的認識還存在很多誤區,很有必要重新認識。 一、HASH算法不是加密算法 HASH算法是一種消息摘要算法,不是一種加密算法,但由于其單向運算,具有一定的不可逆性,成為加密算法中的一個構成部分,完整的加密機制不能僅依賴HASH算法。 二、HASH算法的碰撞現象 HASH算法可以理解為將任意的信息經過提煉后,成為一個定長的字符串。世界上的信息數量為無窮大,所以定長的字符串不可能表達所有的摘要,因此存在所謂的“碰撞”,即2個同樣的信息源摘要是一樣的。 2004年山東大學王曉云提出有關快速查找“碰撞對”的算法,引起安全界對于HASH算法的極大關注,NIST提出到2010年不再使用MD5和SHA-1。目前仍可使用的HASH算法包括:SHA-256,SHA-512,SHA-224,SHA-384。2011年2月FIPS180-4草案還增加了SHA-512/224,SHA-512/256。這些算法都是SHA-2系列算法,SHA3-256算法也即將到來。關于碰撞必須還要說的是,有幾率找到碰撞對,但并不意味著HASH算法整體被否定,例如將合同文本整體HASH并數字簽名,如果找到碰撞對,很難還原成一個正常的文本,如果是一堆亂碼,沒有人會認可此文件,在不篡改HASH的前提下無法有實際意義的修改合同。 三、HASH的破解與社會工程學 HASH算法本身為單向性,很難直接破解,現有的破解都是將常用字符計算HASH值后反向比較。例如密碼123456,假設MD5值為1ab9744e58acee3ed8f03508cbf82bf5,那么數據庫中查到MD5值即知道了密碼。通過社會工程學的應用,大量常用密碼已可直接破解。 四、合理使用HASH算法 1. 廢除舊算法,至少使用SHA-256,64位操作系統SHA-512運算速度更佳,建議選用 2. 合理加點“SALT”,即干擾字符串。例如:SALT1=C`3/$xUM,5ltL4pze;avf9#kgmET^ SALT2=1qYIs,vOSfn%UHhm5+3TX:#iety0d 計算HASH SHA-512(SALT1+用戶名+SALT2+密碼) 那么社會工程學和目前的暴力運算是無法解決的 3. 不要以為聯合使用HASH算法會安全。例如MD5+SHA1,或者SHA1(MD5)嵌套,有文獻證實都是無效的。 最后希望程序員們能多看文獻,跟上國際安全標準,盡可能避免安全事件的發生的影響。 @分析CSDN泄漏數據信息的一些數據 CSDN這次數據泄漏,同時也給了我們一些有趣的分析數據。 我們可以輕松地統計挨踢人士的郵箱使用情況,以及通常的密碼長度等信息: 大家通常最關心密碼 來看看大家最經常使用的密碼是什么吧 
大家最使用的密碼長度不如所料,是8位左右 csdn不限制密碼長度的嗎?(不像挨踢網站的風格啊)
身為一個IT人士或愛好者,大家的安全意思還是挺強的,密碼最常見的是在8位到14位之間,一般來說是很安全的,當然不排除某些網站使用明文-_-# 最后一個有趣的數據是國內的郵箱使用情況
排在第一的竟然是qq.com 是大家出于無所謂呢,還是臨時用一下的?不過不可否認,這幾年qq郵箱做得還可以。 @@致CSDN會員的公開道歉信 尊敬的CSDN會員: 我們非常抱歉,近日發生了CSDN用戶數據庫泄露事件,您的用戶密碼可能被公開。我們懇切地請您修改CSDN相關密碼,如果您在其他網站也使用同一密碼。請一定同時修改相關網站的密碼。 目前CSDN已向公安機關正式報案,公安機關也正在調查相關線索。 再次向您致以深深的歉意! 關于CSDN網站用戶帳號被泄露的聲明: CSDN網站早期使用過明文密碼,使用明文是因為和一個第三方chat程序整合驗證帶來的,后來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼。 但部分老的明文密碼未被清理,2010年8月底,對帳號數據庫全部明文密碼進行了清理。2011年元旦我們升級改造了CSDN帳號管理功能,使用了強加密算法,帳號數據庫從Windows Server上的SQL Server遷移到了Linux平臺的MySQL數據庫,解決了CSDN帳號的各種安全性問題。 一、CSDN帳號數據庫是明文保存密碼嗎? 2009年4月之前是明文,2009年4月之后是加密的,但部分明文密碼未清理;2010年8月底清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的,9月之前的有可能不安全。 二、我的CSDN帳號是安全的嗎?需要修改密碼嗎? 1、如果你是2009年4月以前注冊的帳號,且2010年9月之后沒有修改過密碼,請立即修改密碼; 2、如果你是2009年4月以后注冊的帳號,且2010年9月之后沒有修改過密碼,建議修改密碼; 3、如果你是2010年9月以后注冊的帳號,不必修改密碼,但郵箱有泄露可能性; 4、如果你是2011年1月以后注冊的帳號,帳號,密碼和郵箱都非常安全; 三、CSDN帳號數據庫現在是安全的嗎? 歷史遺留的安全隱患從2011年元旦起已經全部解決。CSDN帳號數據庫已經遷移到了Linux平臺上的MySQL數據庫,進行了多方面的安全加固,密碼加密強度也很高。 四、CSDN老的帳號數據庫是怎么泄露的? 目前泄露出來的CSDN明文帳號數據是2010年9月之前的數據,其中絕大部分是2009年4月之前的數據。因此可以判斷出來的泄露時間是在2010年9月之前。泄露原因正在調查中。 五、如果我的CSDN帳號已經被盜怎么辦? 1、使用忘記密碼功能,系統會重置密碼,將新密碼發到你的注冊郵箱 2、給管理員發郵件,請管理員幫助找回帳號 六、我們將采取什么措施彌補此次問題? 1、我們將針對2010年9月之前的注冊用戶,提示修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。 2、我們將針對所有弱密碼用戶進行提示,要求用戶修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。 3、我們將對2010年9月之前所有注冊用戶群發Email提示用戶修改密碼,并提示用戶把其他網站相同的密碼也盡快修改。 4、我們將臨時關閉CSDN用戶登錄,針對網絡上面泄露出來的帳號數據庫進行驗證,凡是沒有修改過密碼的泄露帳號,全部重置密碼。 @@@[圖]黑客公開網站數據庫 600余萬用戶資料泄露 有網友爆料稱,今天有黑客在網上公開了知名網站CSDN的用戶數據庫,這是一次嚴重的暴庫泄密事件,涉及到的賬戶總量高達600萬個,我們部分同事確實也在泄漏的庫里發現了自己的帳號。又到了修改密碼的時候了:
|
|
CSDN數據庫被爆 統計CSDN用戶都喜歡哪些密碼: http://www.cnbeta.com/articles/166527.htm |
| 我也下載到了。 |
