关于CSDN用户数据泄露的一些思考

“有很多用户的密码在网上飘荡,而且它还是明文的”

CSDN 600万的用户信息(用户名、密码和邮箱)泄露了,而且密码是明文存储的。之后又爆出了人人、多玩等众多网站的用户信息也被泄露了。当然这只是黑客门放出的一部分信息,只是冰山一角,不过管中窥豹可以知道现在互联网是多么的不安全,多么的没有隐私,翻开手机看看手机里的那些垃圾短息吧!还有接到的那些很多莫名其妙的电话。

毋庸置疑互联网时代安全是一个大问题,但是互联网的安全性和开放性始终一对矛盾,在一个开发的系统中想实现绝对的安全似乎是不可能的。在2011年的尾巴上的这次信息泄露事件,从另一侧面来看反而是一件好事,无论对于网站开发人员还是最终用户,大家的安全意识应该在这次事件中有一个提高。

如何保证信息的安全?

(1) 加密算法的选择

MD5SHABcrypt() 、PHK、SRP等究竟应该选择哪一个算法比较安全。这里做了一个关于Bcrypt 、PHK、SRP的讨论,作者指出一个越快的加密算法越不安全,快即意味着破解或者攻击所需要的时间也会减少,所以选择加密算法加密速度是一个考虑的因素,作者最后推荐的加密算法是Bcrypt。

牛逼、并且最靠谱的方法可能是自己开发一个加密算法、当然开发的算法强度至少要达到MD5,然后要严格保密这种加密算法(这又是个问题),那么被破解的概率就要小很多了。

还有一点就是选择常用的加密方法,虽然是一个笨得思路,但也许能起到一些作用。毕竟现在最完备的字典应该是MD5的,如果采用非MD5的加密方法,那么被字典攻击的时间消耗就要更长一些。

更多关于加密算法选择的讨论:

(2)如何加密

对于用户密码来说一般都是单向加密,加密时一定要加salt,而且要每一个用户一个salt,这样就会大大的增加字典破解的难度,如果选用MD5这种快速加密方法,推荐至少加密两次。

(3)强制用户使用复杂密码,这一招也很有用

用户应该怎样管理自己的密码

2009年的时候写过一篇关于密码管理的文章,这里不再重复了。

关于安全问题的讨论

相关网站
PS:
  • 今天又发现天涯4000万的用户数据,又是明文存储。不过事件的发展越来越阴谋论了,互联网在这里真好玩。(update: 2011-12-25)

未完待续···

发表评论

电子邮件地址不会被公开。 必填项已用*标注