标签归档:安全

关于CSDN用户数据泄露的一些思考

“有很多用户的密码在网上飘荡,而且它还是明文的”

CSDN 600万的用户信息(用户名、密码和邮箱)泄露了,而且密码是明文存储的。之后又爆出了人人、多玩等众多网站的用户信息也被泄露了。当然这只是黑客门放出的一部分信息,只是冰山一角,不过管中窥豹可以知道现在互联网是多么的不安全,多么的没有隐私,翻开手机看看手机里的那些垃圾短息吧!还有接到的那些很多莫名其妙的电话。

毋庸置疑互联网时代安全是一个大问题,但是互联网的安全性和开放性始终一对矛盾,在一个开发的系统中想实现绝对的安全似乎是不可能的。在2011年的尾巴上的这次信息泄露事件,从另一侧面来看反而是一件好事,无论对于网站开发人员还是最终用户,大家的安全意识应该在这次事件中有一个提高。

如何保证信息的安全?

(1) 加密算法的选择

MD5SHABcrypt() 、PHK、SRP等究竟应该选择哪一个算法比较安全。这里做了一个关于Bcrypt 、PHK、SRP的讨论,作者指出一个越快的加密算法越不安全,快即意味着破解或者攻击所需要的时间也会减少,所以选择加密算法加密速度是一个考虑的因素,作者最后推荐的加密算法是Bcrypt。

牛逼、并且最靠谱的方法可能是自己开发一个加密算法、当然开发的算法强度至少要达到MD5,然后要严格保密这种加密算法(这又是个问题),那么被破解的概率就要小很多了。

还有一点就是选择常用的加密方法,虽然是一个笨得思路,但也许能起到一些作用。毕竟现在最完备的字典应该是MD5的,如果采用非MD5的加密方法,那么被字典攻击的时间消耗就要更长一些。

更多关于加密算法选择的讨论:

(2)如何加密

对于用户密码来说一般都是单向加密,加密时一定要加salt,而且要每一个用户一个salt,这样就会大大的增加字典破解的难度,如果选用MD5这种快速加密方法,推荐至少加密两次。

(3)强制用户使用复杂密码,这一招也很有用

用户应该怎样管理自己的密码

2009年的时候写过一篇关于密码管理的文章,这里不再重复了。

关于安全问题的讨论

相关网站
PS:
  • 今天又发现天涯4000万的用户数据,又是明文存储。不过事件的发展越来越阴谋论了,互联网在这里真好玩。(update: 2011-12-25)

未完待续···

互联网时代的困惑密码管理.

岁末了,我把我管理的几个重要的密码更新了一下。以下是我对密码管理发的一些牢骚。

OMG 我的密码

一年又一年。越长大时间过得越快,真如我高中物理老师所说的时间是会随着心境的不同会产生不同的加速度;人越忙越充实的时候,时间是加速的;无聊徘徊的时候,时间是减速的。一转眼就到了岁末啦,该做点事什么呢?

不同的人,年终会去做不同的事,比如有的人会去扫黄;有的人回去给你“要债”;有的人会做做总结,总结自己一年以来做了什么;有的人会展望一下明年,畅想一下明年的美好。互联网时代的我们应该做些什么呢?

OMG数字时代一个困惑而又浮躁的时代。数字时代的知识管理,时间管理,财务管理都不同于传统的管理,对一个刚刚踏入互联网的人,就是一团乱麻,一场噩梦。我就是一个这样的可怜虫,在互联网的世界里,在这一团乱麻中。这其中密码管理就是一个令我很头痛的事情。

在互联网上每一年都会产生一些新的应用。作为一个互联网的爱好者,我会去试用这些服务,然后就是注册一个用户名,设置一个密码。当你注册和使用的多个密码的时候,你就发现自己被搞糊涂了,密码和账号对不上。盘点一下你现在在使用多少服务,在管理多少密码吧。twitter、 豆瓣gmailwave人人开心;还有网银密码、支付宝密码;还有落伍者嬴政等论坛;还有银行卡密码,手机密码、等等等。今年我就有一个痛苦的经历,我去工行开通了网上银行,可回到宿舍就忘了我设定的密码,真是杯具啊。所以如何去管理好这些密码确实是一个问题。

对于一个互联网老手,处理这些密码有几个方法:

1)密码分层次管理只设置几个关键的密码

对不同的服务进行分类管理,重要服务用一类密码;比如支付宝,网银可能会使用相同的密码。一些不重要的服务使用另一个密码;比如各种论坛的账号密码可能是一样的。纵然是这样加上现实中的各种密码,恐怕可能也要管理三五个密码。好像还是麻烦,在现实中我们也经常遇到有人忘记密码,并且由此而带来的麻烦事。我可不推荐所有的账号用同一个密码,想象一下吧,如果有一个服务的数据库不安全,把你的密码泄露了;亦或者你的电脑有什么病毒、蠕虫。一旦被别人拿到了你的密码,你的所有的一切都被别人知道了,到时候信春哥恐怕也不管用 了吧。

2)使用openid一类的服务

简单说就是使用一个平台的账号可以不用注册就登录其他的网站。这中服务做的最好的应该是Facebook,现在已经支持很多的第三方网站的登录。这种解决方案看起来很优雅很方便,可是还是同样存在同一账号密码下的安全问题,一旦被突破,你就裸奔在互联网上吧。

3)还有一类的密码代管理平台

你把你的所有的密码托管在哪里,这要去他们的网站。登录一次他们的网站,如果你想登陆其他的网站访问,他们会使用你托管给他们的密码为你代理登陆其他的网站。比如豌豆网。不过这种方式的安全性同样不能令人信服。

4)密码管理软件

比如keepass,这种类似于第三种,只不过是通过软件管理密码,依然存在单一入口的问题。当然使用这种要比使用单一密码要安全很多,起码你使用的一个网站被爆库之后,其他使用的网站还比较安全。

总结

其实任何的第三方平台都是不安全,我们不能信任他们。指不定他们会拿我们的私人信息去干什么,说不定那天你的手机就会受到色情短信、放贷短息等等一些你需要的或者不需要的信息。目前我没有使用openid一类的服务,也不信任任何代管密码的平台,依然采用最笨的人脑记忆法来管理自己密码。应该算是第一种方法吧。

还有一点无论哪种密码管理方式,推荐一年更新一次密码。

update:2011-12-12