TGFC Lifestyle - Powered by Discuz! Board

标题: [其他] CSDN暴库的背后：密码为什么要明文存放？ [打印本页]

作者: ttsyyh 时间: 2011-12-22 22:56 标题: CSDN暴库的背后：密码为什么要明文存放？

应用邦——从昨天下午CSDN被爆出600万用户密码被曝光之后，今天上午人人和世纪佳缘等站的用户信息也被曝光了，也许你已经重置了大部分账号的密码，但是这样就真的安全了吗？溯源究底，网友shell总结了一以下几点密码需要明文存放的原因：

1.不用明文密码没法应付检查。大家知道互联网审查，有时往往会一个电话过来，要XX用户的密码。如果你没法给出，上头就认为你不配合，事情各种难搞。作为审查机构的老板，当然没必要知道明文密码的危害。他们只知道，我要密码，为什么不行。所以，悲崔的程序员们就往往会得到一条死命令，保存明文密码。

2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人，从石头的缝隙中顽强的生长出来。这不是坏事，坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员，写程序很快，但是居然从来不知道密码明文存放会导致什么问题。更神奇的是，这些人中，有一家银行…

3.自信暴棚的混帐。有些人的自信总比别人强，而且强在莫名其妙的地方。例如：我的服务器肯定是没问题的，所以我的密码一定要明文存放。如果不，就是质疑我的技术。
实话说，这种人真是少数中的少数。

4.遗留系统。很多系统设计的时候因为某个其他理由，使用了明文密码。等后来这个理由不存在了，密码系统升级成了一个困难。因为密码系统太重要了，所以在没有太大利益的情况下，总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢？用户安全问题在发现前不是一个问题——好比这次的CSDN，不是被暴出来的话就根本不会被当作一个问题。系统的管理者，每个人都没有足够的动力去修改系统。

5.世界的阴暗角落。有的时候，程序员/老板明文存放的理由，是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例，你注册网站，就提供很多免费服务，网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码，大家才突然发现，这家网站其实根本没有在美国注册，而是一个听都没听说过的国家。

而且很多网站提供从其他网站导入之类的功能，更加的危险。以前经常爆出twitter密码被窃取，主要就是因为OAuth开放以前，twitter上的第三方应用需要提供原生密码，导致很多小应用的目的其实就是收集密码…

6.为了给用户提供方便。这个理由和上一个很类似，不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事，为什么我不能blahblah。好吧，为了让你能，我们就必须保存明文密码。

作者: phoenie 时间: 2011-12-22 23:18

csdn的快来做选择题

作者: cf3b5 时间: 2011-12-22 23:32

从我做研发差不多10年的经验来说，明文存密码只有一种可能性，就是故意要知道用户的密码留作他用，绝对不按好心！
因为密码只是鉴权的其中一种方式而已，想不知道密码的情况下进入某个用户的账户，只需要设计的时候增加一个不用密码做鉴权的模块即可～
到时候使用的时候，只需要指定一个规范，通过某个固定的密码、帐号前后缀、IP识别等等手段来激活第二种不需要密码的鉴权模块就可以了～
所以根本不存在说有任何理由非要明文储存密码这种情况～

作者: 利露 时间: 2011-12-22 23:46

posted by wap, platform: Android

引用:

原帖由 @cf3b5 于 2011-12-22 23:32 发表
从我做研发差不多10年的经验来说，明文存密码只有一种可能性，就是故意要知道用户的密码留作他用，绝对不按好心！
因为密码只是鉴权的其中一种方式而已，想不知道密码的情况下进入某个用户的账户，只需要设计的时候 ...

最sb的是别说md5，好歹也用其他方式加密下

作者: 绯雨流 时间: 2011-12-23 00:00

第一个原因太勉强，要密码干什么，直接要内容

作者: helllee 时间: 2011-12-23 00:02

哪个银行有问题了我擦

作者: ooo 时间: 2011-12-23 00:13

posted by wap, platform: iPhone

麻痹所有的购物网站改过一遍了，累死了

作者: iamthend 时间: 2011-12-23 00:18

凶手是谁啊？

作者: szgekko 时间: 2011-12-23 00:24

引用:

原帖由 绯雨流 于 2011-12-23 00:00 发表
第一个原因太勉强，要密码干什么，直接要内容

其实要密码有时候很多用处
很多人各种账号都是同样的同样的用户名同样的密码

用处还是很大的

我赞同3楼的说法

明文存放密码……完全就是故意的！

我不信有关部门会脑残到这个程度会说把某用户名的账号和密码发给我

想查在某个网站发过什么内容从数据库中导出一份不更轻松……

作者: LTFYH 时间: 2011-12-23 01:01

posted by wap, platform: LG

正规一点的系统一般都不用明文存密码吧

作者: 一只纯猪头 时间: 2011-12-23 01:05

1.自我审查和自我阉割以及把割掉的蛋蛋交上去,跟明文密码有个P的关系.DBA只要权限足够,修改用户信息也就一行命令搞定.而且你这个所谓的死命令保存明文密码已经有足够多的证明是不存在的.所有的discuz系统都是密文保存.

2.我不知道要多山寨的老师才会不强调数据库以及系统设计的时候,用户密码的保存和传输都应该加密.而且实际上除了在互联网上古时期还会看到明文保存用户名和密码的网站,现在而言屈指可数

3.这更是扯谈了.即便强如微软这样的公司,也曾经少量的泄露了部分hotmail用户信息.

4.别总是扯遗留问题.一个面向IT开发者的网站竟然能有这么严重的"历史问题",怎么不关门卖服务器算了啊

5.我只能觉得作为一个这么大的网站,长时间明文保存用户密码的只有是故意这个原因了

6.CSDN是自己为自己开发,不存在外包

作者: 去日留痕 时间: 2011-12-23 08:41

posted by wap, platform: iPhone

险恶用心

作者: jun4rui 时间: 2011-12-23 08:47

不要以为做程序员网站的，里面的程序员就专业了。

CSDN网站本身就很矬

当然，我也支持CSDN明文存放密码是别有用心

作者: 我不懂 时间: 2011-12-23 08:51

明文存放密码就是故意的...没有其他可能.

作者: 小猫偷菊 时间: 2011-12-23 10:39

绝逼不安好心~

作者: csan 时间: 2011-12-23 10:54

我相信CSDN不是故意，主要原因是因为水平太次了:D

作者: beterhans 时间: 2011-12-23 11:10

posted by wap, platform: iPhone

我倒是觉得这是一件好事
如果黑客要信息的话完全没必要公开

可能是要让公众体验下国内的网站是多么不靠谱

作者: 11508721 时间: 2011-12-23 12:38

密码明文存放只有一种用处：那就是给心怀不轨又不懂系统的人窥探别人信息的机会

就拿Oracle数据库来说，只要有dba权限，又懂系统，什么查不到？除非你加密解密代码都放在应用程序里面

作者: Wbird 时间: 2011-12-23 13:34

洗地文，原因就是别有用心+肆无忌惮
现在有良心的都不用纯md5了，还要加点盐 :D

作者: FoxfoO 时间: 2011-12-23 14:20

问一下有经验的：MD5加密有逆向算法吗？

作者: AYAZERO1100 时间: 2011-12-23 15:45

中国一个女教授找到在短时间内有效碰撞

作者: 南方仁 时间: 2011-12-23 23:29

posted by wap, platform: Meizu (M9)

故意的，这是基于人性的最可能的推理

作者: cf3b5 时间: 2011-12-24 01:33

posted by wap, platform: Android

引用:

原帖由 @FoxfoO 于 2011-12-23 14:20 发表
问一下有经验的：MD5加密有逆向算法吗？

逆向不可能，但是碰撞还是有一定可能！

作者: 比卡丘 时间: 2011-12-24 08:50

posted by wap, platform: iPad

引用:

原帖由 @szgekko  于 2011-12-23 00:24 发表
其实要密码有时候很多用处
很多人  各种账号都是同样的同样的用户名同样的密码

用处还是很大的

我赞同3楼的说法

明文存放密码……完全就是故意的！

我不信有关部门会脑残到这个程度  会说  把某用户 ...

密码什么的都不问了现在，他们都有

作者: oneess 时间: 2011-12-25 19:05

引用:

原帖由 瓦格雷 于 2011-12-24 02:09 发表
hash保存就没法提供密码找回功能了

密码找回是给你邮箱发一条链接让你输入新密码，和网站是否知道你密码明文没有关系

作者: 离神最近的人 时间: 2011-12-25 21:36

引用:

原帖由 FoxfoO 于 2011-12-23 14:20 发表
问一下有经验的：MD5加密有逆向算法吗？

无法逆向，但可以暴力破解
以现在计算机的速度，6位小写字母只需10分钟就可以破掉，即使加上大写字母，数字和各种特殊字符，也只需要18日而已
而且还没有使用并行算法。1秒算7亿个口令的集群，花费也不到2K美金
而且通常后台还会有一个基于统计的非常庞大的密码库（例如这次6百万的CSDN密码，就是很有价值的素材）。通过各种算法，那些常用的组合，例如：生日+名字之类的，基本上都是秒杀。

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)