打印

[其他] CSDN暴库的背后：密码为什么要明文存放？

ttsyyh

林散

小黑屋

红与黑

帖子: 30609
精华: 0
积分: 73496
激骚: 4164 度
爱车
主机
相机
手机
来自: 米兰内洛
注册时间: 2006-10-1

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

1^# 大中小发表于 2011-12-22 22:56 只看该作者

应用邦——从昨天下午CSDN被爆出600万用户密码被曝光之后，今天上午人人和世纪佳缘等站的用户信息也被曝光了，也许你已经重置了大部分账号的密码，但是这样就真的安全了吗？溯源究底，网友shell总结了一以下几点密码需要明文存放的原因：

1.不用明文密码没法应付检查。大家知道互联网审查，有时往往会一个电话过来，要XX用户的密码。如果你没法给出，上头就认为你不配合，事情各种难搞。作为审查机构的老板，当然没必要知道明文密码的危害。他们只知道，我要密码，为什么不行。所以，悲崔的程序员们就往往会得到一条死命令，保存明文密码。

2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人，从石头的缝隙中顽强的生长出来。这不是坏事，坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员，写程序很快，但是居然从来不知道密码明文存放会导致什么问题。更神奇的是，这些人中，有一家银行…

3.自信暴棚的混帐。有些人的自信总比别人强，而且强在莫名其妙的地方。例如：我的服务器肯定是没问题的，所以我的密码一定要明文存放。如果不，就是质疑我的技术。
实话说，这种人真是少数中的少数。

4.遗留系统。很多系统设计的时候因为某个其他理由，使用了明文密码。等后来这个理由不存在了，密码系统升级成了一个困难。因为密码系统太重要了，所以在没有太大利益的情况下，总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢？用户安全问题在发现前不是一个问题——好比这次的CSDN，不是被暴出来的话就根本不会被当作一个问题。系统的管理者，每个人都没有足够的动力去修改系统。

5.世界的阴暗角落。有的时候，程序员/老板明文存放的理由，是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例，你注册网站，就提供很多免费服务，网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码，大家才突然发现，这家网站其实根本没有在美国注册，而是一个听都没听说过的国家。

而且很多网站提供从其他网站导入之类的功能，更加的危险。以前经常爆出twitter密码被窃取，主要就是因为OAuth开放以前，twitter上的第三方应用需要提供原生密码，导致很多小应用的目的其实就是收集密码…

6.为了给用户提供方便。这个理由和上一个很类似，不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事，为什么我不能blahblah。好吧，为了让你能，我们就必须保存明文密码。

TOP

phoenie

小黑屋

帖子: 2473
精华: 0
积分: 16062
激骚: 172 度
爱车
主机
相机
手机
注册时间: 2009-11-25

TGFC 2014新年勋章☆☆☆☆

发短消息
加为好友
当前离线

2^# 大中小发表于 2011-12-22 23:18 只看该作者

csdn的快来做选择题

TOP

cf3b5

小黑屋

帖子: 12809
精华: 0
积分: 28512
激骚: 933 度
爱车
主机
相机
手机
注册时间: 2006-9-18

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

3^# 大中小发表于 2011-12-22 23:32 只看该作者

从我做研发差不多10年的经验来说，明文存密码只有一种可能性，就是故意要知道用户的密码留作他用，绝对不按好心！
因为密码只是鉴权的其中一种方式而已，想不知道密码的情况下进入某个用户的账户，只需要设计的时候增加一个不用密码做鉴权的模块即可～
到时候使用的时候，只需要指定一个规范，通过某个固定的密码、帐号前后缀、IP识别等等手段来激活第二种不需要密码的鉴权模块就可以了～
所以根本不存在说有任何理由非要明文储存密码这种情况～

TOP

利露

高级用户

魔神至尊

水区禁言组

帖子: 26997
精华: 1
积分: 26881
激骚: 2340 度
爱车: =修=
主机: =身=
相机: =养=
手机
来自: =性=
注册时间: 2004-1-17

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

4^# 大中小发表于 2011-12-22 23:46 只看该作者

posted by wap, platform: Android

引用:

原帖由 @cf3b5 于 2011-12-22 23:32 发表
从我做研发差不多10年的经验来说，明文存密码只有一种可能性，就是故意要知道用户的密码留作他用，绝对不按好心！
因为密码只是鉴权的其中一种方式而已，想不知道密码的情况下进入某个用户的账户，只需要设计的时候 ...

最sb的是别说md5，好歹也用其他方式加密下

TOP

绯雨流

NULL

五道杠

ZERO

帖子: 65557
精华: 1
积分: 170016
激骚: 4961 度
爱车
主机
相机
手机
注册时间: 2003-1-13

PS区 2019新年白金奖☆☆☆☆ PS区 PS4主机首发纪念奖★ TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ TGFC王者农药勋章★ 数码区 iPhone6 Plus发售纪念☆☆☆

发短消息
加为好友
当前离线

5^# 大中小发表于 2011-12-23 00:00 只看该作者

第一个原因太勉强，要密码干什么，直接要内容

TOP

helllee

LOLI桶

魔神至尊

我爱全画幅

帖子: 17225
精华: 0
积分: 4412
激骚: 357 度
爱车: 撞了
主机: 没了
相机: 搜你坑爹卡片机
手机
注册时间: 2006-11-3

TGFC 2015新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

6^# 大中小发表于 2011-12-23 00:02 只看该作者

哪个银行有问题了我擦

TOP

ooo

魔神至尊

帖子: 15550
精华: 1
积分: 37499
激骚: 582 度
爱车: o(> ﹏< )o
主机: O(∩_∩)O~
相机: (⊙o⊙)
手机
注册时间: 2001-7-20

TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前在线

7^# 大中小发表于 2011-12-23 00:13 只看该作者

posted by wap, platform: iPhone

麻痹所有的购物网站改过一遍了，累死了

TOP

iamthend

大侠

帖子: 781
精华: 0
积分: 3227
激骚: 112 度
爱车
主机
相机
手机
注册时间: 2011-10-21

TGFC 2018新年勋章☆☆☆☆

发短消息
加为好友
当前离线

8^# 大中小发表于 2011-12-23 00:18 只看该作者

凶手是谁啊？

TOP

szgekko

天外飞仙

帖子: 14757
精华: 0
积分: 28229
激骚: 637 度
爱车
主机
相机
手机
注册时间: 2005-1-9

PS区 PS4主机首发纪念奖★ TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

9^# 大中小发表于 2011-12-23 00:24 只看该作者

引用:

原帖由 绯雨流 于 2011-12-23 00:00 发表
第一个原因太勉强，要密码干什么，直接要内容

其实要密码有时候很多用处
很多人各种账号都是同样的同样的用户名同样的密码

用处还是很大的

我赞同3楼的说法

明文存放密码……完全就是故意的！

我不信有关部门会脑残到这个程度会说把某用户名的账号和密码发给我

想查在某个网站发过什么内容从数据库中导出一份不更轻松……

TOP

LTFYH

银河飞将

帖子: 32387
精华: 0
积分: 48941
激骚: 562 度
爱车
主机
相机
手机
注册时间: 2001-7-6

TGFC 2015新年勋章☆☆☆☆

发短消息
加为好友
当前离线

10^# 大中小发表于 2011-12-23 01:01 只看该作者

posted by wap, platform: LG

正规一点的系统一般都不用明文存密码吧

TOP

一只纯猪头

魔王撒旦

帖子: 7733
精华: 0
积分: 18298
激骚: 752 度
爱车
主机
相机
手机
注册时间: 2009-7-21

TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

11^# 大中小发表于 2011-12-23 01:05 只看该作者

1.自我审查和自我阉割以及把割掉的蛋蛋交上去,跟明文密码有个P的关系.DBA只要权限足够,修改用户信息也就一行命令搞定.而且你这个所谓的死命令保存明文密码已经有足够多的证明是不存在的.所有的discuz系统都是密文保存.

2.我不知道要多山寨的老师才会不强调数据库以及系统设计的时候,用户密码的保存和传输都应该加密.而且实际上除了在互联网上古时期还会看到明文保存用户名和密码的网站,现在而言屈指可数

3.这更是扯谈了.即便强如微软这样的公司,也曾经少量的泄露了部分hotmail用户信息.

4.别总是扯遗留问题.一个面向IT开发者的网站竟然能有这么严重的"历史问题",怎么不关门卖服务器算了啊

5.我只能觉得作为一个这么大的网站,长时间明文保存用户密码的只有是故意这个原因了

6.CSDN是自己为自己开发,不存在外包

TOP

去日留痕

魔神至尊

帖子: 19222
精华: 0
积分: 53660
激骚: 513 度
爱车: 闂侀潧妫欓崝
主机: 闂侀潧妫欓崝
相机: 闂侀潧妫欓崝
手机
来自: 闂侀潧妫欓崝
注册时间: 2010-9-2

TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆

发短消息
加为好友
当前离线

12^# 大中小发表于 2011-12-23 08:41 只看该作者

posted by wap, platform: iPhone

险恶用心

TOP

jun4rui

大都督

帖子: 74023
精华: 9
积分: 108422
激骚: 2946 度
爱车: 宋
主机: 哈
相机: 娜
手机: 酱
来自: 守望先锋
注册时间: 2003-1-15

发短消息
加为好友
当前离线

13^# 大中小发表于 2011-12-23 08:47 只看该作者

不要以为做程序员网站的，里面的程序员就专业了。

CSDN网站本身就很矬

当然，我也支持CSDN明文存放密码是别有用心

TOP

我不懂

水果进步促进委员会

魔神至尊

名誉会长

帖子: 26860
精华: 0
积分: 55746
激骚: 1224 度
爱车: 有
主机: 无
相机: 无
手机: 有
注册时间: 2006-1-13

PS区 PS4主机首发纪念奖★ TGFC 2014新年勋章☆☆☆☆ TGFC 2015新年勋章☆☆☆☆ TGFC 2016新年勋章☆☆☆☆ TGFC 2017新年勋章☆☆☆☆ TGFC 2018新年勋章☆☆☆☆ TGFC 2019新年勋章☆☆☆☆ TGFC 2020年度勋章☆☆☆☆ 数码区 iPhone6 发售纪念☆☆☆

发短消息
加为好友
当前离线

14^# 大中小发表于 2011-12-23 08:51 只看该作者

明文存放密码就是故意的...没有其他可能.

TOP

小猫偷菊

小黑屋

帖子: 482
精华: 0
积分: 8348
激骚: 66 度
爱车
主机
相机
手机
注册时间: 2011-5-24

发短消息
加为好友
当前离线

15^# 大中小发表于 2011-12-23 10:39 只看该作者

绝逼不安好心~

TOP