国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

CSDN明文口令泄露的啟示

2011年12月21日晚，某計(jì)算機(jī)專業(yè)的大學(xué)生寢室，某同學(xué)大叫到：“兄弟們，最新的日本XX女星的AV片已經(jīng)下好，大家快過來看啊，相當(dāng) 精彩啊~~~”，然而，這個(gè)寢室里的其它同學(xué)似乎沒有聽到這哥們的呼喊，于是，這哥們又叫了三次，沒有人理他，因?yàn)榇蠹叶荚诿硷w色舞地談?wù)撝鳦SDN的明 文密碼和用戶賬號(hào)泄露的事情，并在網(wǎng)上查找著下載CSDN那600萬的用戶數(shù)據(jù)……上面這個(gè)故事是我編的，只是想描述一下昨晚的情形。

其實(shí)，CSDN明文密碼并不是什么稀奇的事情，我是2000年注冊CSDN的吧，當(dāng)時(shí)找回口令的機(jī)制就是把口令直接傳回來了，這一定是明文了。去年 去CSDN參加移動(dòng)互聯(lián)網(wǎng)沙龍的時(shí)候，范凱和蔣濤說過明文密碼的事，不過他們說的是很早以前的事了，而且一筆帶過了。1年后的今天，事情又暴了，可見， “出來混的，遲早是要還的”這句話是幾近真理的。

我在以前的BLOG里就提到過CSDN的明文密碼（在“如何設(shè)計(jì)用戶登錄功能”一文）和 賬號(hào)泄露（“如何設(shè)計(jì)自己的口令”） 的事（由此可見，酷殼里的很多文章里的事都應(yīng)驗(yàn)了，因?yàn)槲抑馈俺鰜砘斓模t早是要還的”）

（可悲吧？還是程序員的網(wǎng)站呢，明文口令和用戶信息泄露有悖于一個(gè)程序員網(wǎng)站的稱號(hào)）

泄露的密碼分析

我昨晚下載了www.csdn.net.sql文件，并分析了一下這個(gè)文件，經(jīng)過各種awk, grep, sort, uniq, sed后，下面是我看到的東西：

• 有近45萬的用戶使用 123456789 和 12345678 做口令。
• 有近40萬的用戶使用自己的生日做口令。
• 有近15萬的用戶使用自己的手機(jī)號(hào)做口令。
• 有近25萬的用戶使用自己的QQ號(hào)做口令。
• 設(shè)置成弱口令的用戶占了590萬，也就是那種就算你用MD5或是SHA散列的也能很快就被暴力破解出來的口令。
• 只有8000多個(gè)用戶的口令里在8個(gè)長度以上，并有大寫字母，小寫字母，數(shù)字，并不在字典表里。

（很好，這回泄露的還不單單只是明文用戶密碼和用戶郵件，還有用戶的手機(jī)號(hào)，生日和QQ號(hào)。挺好的）

下面，我們來看一下top 100的口令是什么？（第一列是采用這個(gè)密碼個(gè)數(shù)，第二列是密碼，我擦 dearbook是什么?。┖唵蔚乜戳艘幌?，top 一萬的口令都很SB。比如什么woshishui, 123abc, aaa123456，01010101，haohaoxuexi，msconfig 相當(dāng)?shù)?B，還有P@ssw0rd，q1w2e3r4t5，看似文藝，實(shí)際很2的口令…. （可悲吧？還是程序員的網(wǎng)站呢，自己設(shè)的口令有悖于一個(gè)程序員的稱號(hào)）

235033 123456789
212751 12345678
76346 11111111
45902 dearbook
34953 00000000
19986 123123123
17791 1234567890
15033 88888888
6995 111111111
5966 147258369
5553 987654321
5459 aaaaaaaa
5145 1111111111
5025 66666666
4435 a123456789
4096 11223344
3667 1qaz2wsx
3649 xiazhili
3610 789456123
3497 password
3281 87654321
3277 qqqqqqqq
3175 000000000
3143 qwertyuiop
3094 qq123456
3077 iloveyou
3061 31415926
2985 12344321
2886 0000000000
2826 asdfghjkl
2797 1q2w3e4r
2580 123456abc
2578 0123456789
2573 123654789
2540 12121212
2515 qazwsxedc
2396 abcd1234
2380 12341234
2348 110110110
2298 asdasdasd
2243 22222222
2166 123321123
2160 abc123456
2145 123456
2138 a12345678
2113 123456123
2106 a1234567
2100 1234qwer
1989 qwertyui
1986 123456789a
1971 aa123456
1918 asdfasdf
1891 99999999
1859 999999999
1859 123456aa
1854 123456123456
1699 520520520
1656 963852741
1652 741852963
1652 55555555
1589 33333333
1480 qwer1234
1384 asd123456
1339 77777777
1316 qweasdzxc
1285 code8925
1273 11112222
1268 ms0083jxj
1245 zzzzzzzz
1214 111222333
1206 qweqweqwe
1200 3.1415926
1183 123456qq
1148 147852369
1136 521521521
1121 asdf1234
1111 123698745
1109 1123581321
1058 asdfghjk
1054 q1w2e3r4
1038 12345678a
1003 woaini1314
991 1234abcd
988 123qweasd
975 1qazxsw2
967 woaiwojia
920 321321321
910 05962514787
894 123456987
892 kingcom5
882 zxcvbnm123
882 5845201314
853 0987654321
847 wwwwwwww
835 11111111111111111111
805 12345600
783 11235813
777 1q2w3e4r5t
772 10101010
770 123456asd

老生長談安全問題

從酷殼出現(xiàn)開始我就在老生長談?dòng)脩舭踩臇|西了，今天借著這個(gè)事，大家再去重溫一下酷殼的文章吧：

• Twitter禁用的口令?？纯慈グ?，一個(gè)好的網(wǎng)站應(yīng)該如何引導(dǎo)用戶設(shè)置強(qiáng)口令。Apple ID也是這樣，需要你輸入的口令有大小寫，數(shù)字，非數(shù)字和字母，等等。今天CSDN的這個(gè)列表應(yīng)該成為各大網(wǎng)站“口令禁用列表”。

• 有朋友說，明文口令是巨2的一件事，是的。我可以告訴你，這個(gè)明文口令有可能存在于所有國內(nèi)的網(wǎng)站上，比如：QQ，新浪，人人，開心，天涯……。對于安全問題，你要做最壞的假設(shè)，魯迅先生說過：“不憚以最壞的惡意來推測中國人”，所以，對于中國的網(wǎng)站你要做如下最壞假設(shè)：1）其以明文存我的口令，2）其內(nèi)部不良員工會(huì)把我的信息泄露出去。不信你可以看看下面的某QQ群里的截圖：（看看多玩網(wǎng)明文口令的消息吧，再看看這個(gè)消息吧 QQ郵箱和QQ號(hào)的）
  

• 你可能會(huì)說用MD5和SHA散列口令就好了，這個(gè)只比明文好一點(diǎn)點(diǎn)，因?yàn)橛衦ainbow table，國外的號(hào)稱達(dá)到99%覆蓋，國內(nèi)的達(dá)到93%覆蓋。你加salt也沒有用。就算我只能拿得到你的被散列的密碼，沒有rainbow和 salt，我一樣可以使用暴力破解，甚至就是嘗試一下字典里的密碼就可以了。這會(huì)非常快的，你可以看看本站的這篇文章“破解你的口令”，現(xiàn)在暴力破解MD5和SHA的口令很快的，因?yàn)镸D5和SHA性能太好了。所以，你需要看看“如何防范密碼被破解”，其會(huì)告訴你加密口令要用一個(gè)性能差的算法——bcrypt。（也可以參看Web開發(fā)中需要了解的東西中的如何安全保存口令一文）

• 所以，你有必要地讀一讀我的這篇“如何管理和設(shè)計(jì)自己的口令”，不要在同一網(wǎng)站上使用相同的口令，把口令的級(jí)別分好的組。自己管理好自己的口令。

•  對于Web用戶的安全問題，程序員們一定要看一下 這兩篇文章，你要是不看的話，你沒有資格開發(fā)Web項(xiàng)目。
• 如何設(shè)計(jì)用戶登錄功能
• Web開發(fā)中需要了解的東西

• 當(dāng)你看過 如何設(shè)計(jì)用戶登錄功能 一文后，你一定會(huì)頭暈的，所以，我想告訴你，這種事情最好不要自己干，使用OpenID 和 OAuth吧，人家把這事干到了極致了。而且這樣會(huì)帶來兩個(gè)好處：
• 用戶不需要自己維護(hù)和管理一套新的賬號(hào)。
• 用戶的資料放在國外，從政治上來說是安全的。（八卦一下：Google總部要求中國谷歌所有開發(fā)團(tuán)隊(duì)不得在本地保存用戶的信息）

• 再說一點(diǎn)，再說說如何讓自己內(nèi)部的用戶數(shù)據(jù)不會(huì)被不良員工外泄。所有的開發(fā)團(tuán)隊(duì)都不允許直接操作用戶的數(shù)據(jù)庫，只允許通過安全的接口來驗(yàn)證用戶，用戶信息的數(shù)據(jù)庫中需要對操作者有審計(jì)功能，永遠(yuǎn)不允許不受信的人或操作進(jìn)行全庫掃描。當(dāng)然，我相信，國內(nèi)的開發(fā)團(tuán)隊(duì)絕對達(dá)不到這一步（包括某些銀行）。

• 再說一下，真正的安全系統(tǒng)是協(xié)同整個(gè)社會(huì)的安全系統(tǒng)做出來的一道安全長城，而不是什么都要自己搞。比如：通過很多方法“耦合”和銀行和電信其是別的第三方的安全策略，比如，讓用戶綁定郵箱，綁定手機(jī)，綁定信用卡等。

最后說一下，CSDN在這次事件的表現(xiàn)看上去還是很不錯(cuò)的，道歉也很誠懇，但是，我還是希望CSDN反思一下為什么數(shù)據(jù)庫會(huì)泄露了？內(nèi)部有不良員工？還是系統(tǒng)不安全被黑？不要只是誠懇道歉，還要找自己的原因。其它的網(wǎng)站可能就很惡劣了。包括新浪，人人，開心等，最惡心的就是騰訊，你說他的安全有問題，他還找一堆人來罵你。