w********s
发帖数: 1570 | 1 http://0bad.com/csdn.php
来自这位用户太懒连加密都不用部门
国内最大的程序员社区CSDN上600万用户资料被公开,黑客公布的文件中包含有用户的
邮箱帐号和明文密码。CSDN官方微博称,“初步分析,该库系2009年CSDN作为备份所用
,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前CSDN已
向公安机关报案,公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码
数据库已经全部采取了密文保护和备份。” |
l********a
发帖数: 1154 | 2 这个帖子给了另一个实时查询的,输入用户名就可以查找
http://goo.gl/C10WY |
r****t
发帖数: 10904 | 3 csdn 名字有点象 msdn, 年轻时候愤青,俺就绕道走了。 |
w***g
发帖数: 5958 | 4 这个牛!
【在 w********s 的大作中提到】
: http://0bad.com/csdn.php
: 来自这位用户太懒连加密都不用部门
: 国内最大的程序员社区CSDN上600万用户资料被公开,黑客公布的文件中包含有用户的
: 邮箱帐号和明文密码。CSDN官方微博称,“初步分析,该库系2009年CSDN作为备份所用
: ,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前CSDN已
: 向公安机关报案,公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码
: 数据库已经全部采取了密文保护和备份。”
|
L***n
发帖数: 6727 | 5 正好我都忘了我的密码了,好久不去了,查查去,千万保佑我的账户密码也被hack了啊
...
【在 l********a 的大作中提到】
: 这个帖子给了另一个实时查询的,输入用户名就可以查找
: http://goo.gl/C10WY
|
P********e
发帖数: 2610 | 6 不太理解,这个明文是什么意思?难道不都是方数据库里面吗?应该是黑客黑出来存成
明文的吧。
【在 w********s 的大作中提到】
: http://0bad.com/csdn.php
: 来自这位用户太懒连加密都不用部门
: 国内最大的程序员社区CSDN上600万用户资料被公开,黑客公布的文件中包含有用户的
: 邮箱帐号和明文密码。CSDN官方微博称,“初步分析,该库系2009年CSDN作为备份所用
: ,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前CSDN已
: 向公安机关报案,公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码
: 数据库已经全部采取了密文保护和备份。”
|
N*****m
发帖数: 42603 | 7 存数据库也应该是hash过的
【在 P********e 的大作中提到】
: 不太理解,这个明文是什么意思?难道不都是方数据库里面吗?应该是黑客黑出来存成
: 明文的吧。
|
L*****s
发帖数: 24744 | |
P********e
发帖数: 2610 | 9 所以我不太明白,这里指什么
存成
【在 N*****m 的大作中提到】
: 存数据库也应该是hash过的
|
a9
发帖数: 21638 | 10 就是存了明文啊,123456就存到数据库里123456,像好虫说的,“正常的网站”都存
e10adc3949ba59abbe56e057f20f883e或7c4a8d09ca3762af61e59520943dc26494f8941b
【在 P********e 的大作中提到】
: 所以我不太明白,这里指什么
:
: 存成
|
|
|
P********e
发帖数: 2610 | 11 我不觉得csdn会这么存,记者瞎写。
就是存了明文啊,123456就存到数据库里123456,像好虫说的,“正常的网站”都存
e10adc3949ba59abbe56e057f20f883e或7c4a8d09ca3762af61e59520943dc26494f8941b
【在 a9 的大作中提到】
: 就是存了明文啊,123456就存到数据库里123456,像好虫说的,“正常的网站”都存
: e10adc3949ba59abbe56e057f20f883e或7c4a8d09ca3762af61e59520943dc26494f8941b
|
N*****m
发帖数: 42603 | 12 事实就是这么存了
【在 P********e 的大作中提到】
: 我不觉得csdn会这么存,记者瞎写。
:
: 就是存了明文啊,123456就存到数据库里123456,像好虫说的,“正常的网站”都存
: e10adc3949ba59abbe56e057f20f883e或7c4a8d09ca3762af61e59520943dc26494f8941b
|
P********e
发帖数: 2610 | 13 应该是黑客存成明文了。
另外,一般php读写mysql的密码都在php里面,这样不是很好hack马?
【在 N*****m 的大作中提到】
: 事实就是这么存了
|
a9
发帖数: 21638 | 14 如果存成了hash,黑客怎么存成明文?
不好hack
【在 P********e 的大作中提到】
: 应该是黑客存成明文了。
: 另外,一般php读写mysql的密码都在php里面,这样不是很好hack马?
|
P********e
发帖数: 2610 | 15 web hosting 的公司应该都有你的mysql密码了。
【在 a9 的大作中提到】
: 如果存成了hash,黑客怎么存成明文?
: 不好hack
|
N*****m
发帖数: 42603 | 16 你说的是应该、如果,事实是存了明码
【在 P********e 的大作中提到】
: 应该是黑客存成明文了。
: 另外,一般php读写mysql的密码都在php里面,这样不是很好hack马?
|
g*****g
发帖数: 34805 | 17 读写数据库的密码一般就是对称加密,没有太好办法。
一旦被黑,确实数据库的数据保不住。但至少个人密码
不会丢,除非是在服务器上加木马。
【在 P********e 的大作中提到】
: 应该是黑客存成明文了。
: 另外,一般php读写mysql的密码都在php里面,这样不是很好hack马?
|
w**a
发帖数: 4743 | 18 [ZT]
暗恋的女孩原来在一个单位工作,下载到一份CSDN的数据库,查到了她的帐号,密码居
然是我以前的手机号,我给她打了一个电话,她在电话那头哭了。-感谢CSDN被暴库
【在 L*****s 的大作中提到】
: 没有啥现实意义撒..
|
m******9
发帖数: 968 | |
Q*T
发帖数: 263 | 20 还是忍不住狗了一下
正解答案:xiazhili 是csdn下载频道09年上传比较多的一MM会员,众多程序员意淫的
对象,故xiazhili作为密码不足为奇。
http://d.download.csdn.net/user/xiazhili
dearbook 是csdn早期主业第二书店的域名
【在 w********s 的大作中提到】
: http://0bad.com/csdn.php
: 来自这位用户太懒连加密都不用部门
: 国内最大的程序员社区CSDN上600万用户资料被公开,黑客公布的文件中包含有用户的
: 邮箱帐号和明文密码。CSDN官方微博称,“初步分析,该库系2009年CSDN作为备份所用
: ,由于未查明原因被泄露,特向所有因此而受到影响的用户致以深深歉意。目前CSDN已
: 向公安机关报案,公安机关也正在调查相关线索。CSDN现有2000万注册用户的账号密码
: 数据库已经全部采取了密文保护和备份。”
|
|
|
s********7
发帖数: 4681 | |
o****e
发帖数: 916 | 22 好歹得把密码salted + hash吧?这些网站也太懒了,害人不浅哪 |
t*****g
发帖数: 7455 | 23 据说是因为言论管制需要
有关部门会随时找网站要某帐号密码,而不是要浏览权限
不给的话结果是啥你知道的
【在 P********e 的大作中提到】
: 不太理解,这个明文是什么意思?难道不都是方数据库里面吗?应该是黑客黑出来存成
: 明文的吧。
|
l********a
发帖数: 1154 | 24
这就纯属造谣了
你说一个破it论坛,有关部门要你密码干嘛?帮你修改帖子,毁灭证据?
真有需要查证的,csdn后台去库里检索就行了.
就像上面说的,被黑客黑出hash再hack出来密码的可能性几乎没有,
的确"应该"保存hash的,结果csdn存的是明文,应该是网站另有其他目的的,
绝不是懒惰,或者失误,
【在 t*****g 的大作中提到】
: 据说是因为言论管制需要
: 有关部门会随时找网站要某帐号密码,而不是要浏览权限
: 不给的话结果是啥你知道的
|
t*****g
发帖数: 7455 | 25 别什么造谣了,网上有关部门找网站要密码多了
股沟不就是因为不提供所以最后才被干么
见过很多站长在网上提过
他们要密码就是查看所有个人详细信息甚至,查找关联信息
很多时候还帮人删贴
你以为网站自己检索出来给他们他们就相信了?
这方面腾讯做的更牛逼,现在有关部门不用提供密码就能查看任意账户的任意聊天记录和信息
【在 l********a 的大作中提到】
:
: 这就纯属造谣了
: 你说一个破it论坛,有关部门要你密码干嘛?帮你修改帖子,毁灭证据?
: 真有需要查证的,csdn后台去库里检索就行了.
: 就像上面说的,被黑客黑出hash再hack出来密码的可能性几乎没有,
: 的确"应该"保存hash的,结果csdn存的是明文,应该是网站另有其他目的的,
: 绝不是懒惰,或者失误,
|
P****D
发帖数: 11146 | 26 http://shell909090.com/blog/2011/12/密码为什么明文存放/
密码为什么明文存放
shell
Posted on 2011 年 12 月 22 日
很早就写过一篇blog,说到过,你的密码应当一次一密,至少某些密码泄露时不至于
波及太广。结果这次CSDN不幸中枪。我不去讨论多少人急急忙忙修改密码,多少人数据
泄露,单说说为什么很多时候密码是明文存放的。
就我有记忆以来,我写应用就从来没有明文存放过密码。最起先是md5方式存放。md5
可以让你找到hash值,有的时候也会被用于穷举。但是无论如何,md5密码本身比明文
安全很多。后来改成了challenge-response验证模式,也是用md5做的hash后进行c-r的
。再后来,md5的碰撞冲突的论文出来,后面用的多数都是sha256了。从头到脚,我就
没做过密码明文存放,并且,我认为这是正常程序员最起码的修养。(当然,明文存放
的代码不是没有,不过那是调试模式) 但是现在我所知,很多系统的身份验证都是密
码明文存放的,为什么?其实我不大理解。不过有时候问起,有些人和我说了几个我觉
得不是搪塞的理由,现在抄录如下,告大家知。
1.不用明文密码没法应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX
用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的
老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,
悲崔的程序员们就往往会得到一条死命令,保存明文密码。
2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝
隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪
的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么
问题。更神奇的是,这些人中,有一家银行…
3.自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的
服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。
实话说,这种人真是少数中的少数。
4.遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理
由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利
益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安
全问题在发现前不是一个问题——好比这次的CSDN,不是被暴出来的话就根本不会被当
作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。
5.世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其
他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起
来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银
行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说
过的国家。
而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密
码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,
导致很多小应用的目的其实就是收集密码…
6.为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而
是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能
,我们就必须保存明文密码。
明文密码的保存原因很多,不过结论都是一样的。在任何网站/服务上,你绝对不能
使用同一个密码,零级密码除外。尤其请注意,不要在两家银行使用同样的银行卡密码
/网银密码,原因不说。
从未来进化的角度说,密码的未来进化趋势是核心授权体系。就是你要向某个网站验
证身份,只需要向身份验证商验证,剩下自动完成。现在的openid就是一种解决方案。
密码都没了,还谈什么泄露呢?同时,实体交互和授权的精细划分也是一个趋势。某个
网站访问别的网站的数据的时候,会形成一个访问令牌。这个令牌对需要访问的内容详
细写明,并且需要用户授权。OAuth就是这个趋势的代表。另外一个趋势是利用某个足
够安全的设备作为以上两者的终端载体。目前这个设备用的是手机,可是——手机不是
一个足够安全的设备。也许这会是下一个XX门的隐患吧。
【在 l********a 的大作中提到】
:
: 这就纯属造谣了
: 你说一个破it论坛,有关部门要你密码干嘛?帮你修改帖子,毁灭证据?
: 真有需要查证的,csdn后台去库里检索就行了.
: 就像上面说的,被黑客黑出hash再hack出来密码的可能性几乎没有,
: 的确"应该"保存hash的,结果csdn存的是明文,应该是网站另有其他目的的,
: 绝不是懒惰,或者失误,
|
a9
发帖数: 21638 | 27 不存明文,他的md5不可能升级了。要是存了明文,想升级成啥就升级成啥,哈哈。
md5
【在 P****D 的大作中提到】
: http://shell909090.com/blog/2011/12/密码为什么明文存放/
: 密码为什么明文存放
: shell
: Posted on 2011 年 12 月 22 日
: 很早就写过一篇blog,说到过,你的密码应当一次一密,至少某些密码泄露时不至于
: 波及太广。结果这次CSDN不幸中枪。我不去讨论多少人急急忙忙修改密码,多少人数据
: 泄露,单说说为什么很多时候密码是明文存放的。
: 就我有记忆以来,我写应用就从来没有明文存放过密码。最起先是md5方式存放。md5
: 可以让你找到hash值,有的时候也会被用于穷举。但是无论如何,md5密码本身比明文
: 安全很多。后来改成了challenge-response验证模式,也是用md5做的hash后进行c-r的
|
N*****m
发帖数: 42603 | 28 这不是造谣是啥?
这些网站要看东西要密码干啥,直接看就是了。
google一样跟美国政府合作,他们的密码是明文么。
记录和信息
【在 t*****g 的大作中提到】
: 别什么造谣了,网上有关部门找网站要密码多了
: 股沟不就是因为不提供所以最后才被干么
: 见过很多站长在网上提过
: 他们要密码就是查看所有个人详细信息甚至,查找关联信息
: 很多时候还帮人删贴
: 你以为网站自己检索出来给他们他们就相信了?
: 这方面腾讯做的更牛逼,现在有关部门不用提供密码就能查看任意账户的任意聊天记录和信息
|
t*****g
发帖数: 7455 | 29 美国政府信得过这些公司
有关部门也信得过这些公司?
就算信得过公司,信得过这些给提供资料的值班人员么》?
too naive
【在 N*****m 的大作中提到】
: 这不是造谣是啥?
: 这些网站要看东西要密码干啥,直接看就是了。
: google一样跟美国政府合作,他们的密码是明文么。
:
: 记录和信息
|
N*****m
发帖数: 42603 | 30 看不懂你在说啥,跟信不信这些公司有啥关系
不信自己去看好了,密码明文不明文没啥意义
【在 t*****g 的大作中提到】
: 美国政府信得过这些公司
: 有关部门也信得过这些公司?
: 就算信得过公司,信得过这些给提供资料的值班人员么》?
: too naive
|
|
|
g*****g
发帖数: 34805 | 31 啥时候看任意帐号的信息也不需要个人密码呀,东西都是在
数据库存着,能不能访问纯粹是一个程序设计的权限问题。
记录和信息
【在 t*****g 的大作中提到】
: 别什么造谣了,网上有关部门找网站要密码多了
: 股沟不就是因为不提供所以最后才被干么
: 见过很多站长在网上提过
: 他们要密码就是查看所有个人详细信息甚至,查找关联信息
: 很多时候还帮人删贴
: 你以为网站自己检索出来给他们他们就相信了?
: 这方面腾讯做的更牛逼,现在有关部门不用提供密码就能查看任意账户的任意聊天记录和信息
|
g*****g
发帖数: 34805 | 32 当然不是,md5觉得不够安全,之上再加sha256也不矛盾,反正比较的是结果,
做多少次单向处理都可以。
【在 a9 的大作中提到】
: 不存明文,他的md5不可能升级了。要是存了明文,想升级成啥就升级成啥,哈哈。
:
: md5
|
p****d
发帖数: 2183 | |
t*****g
发帖数: 7455 | 34 好吧,每个网站是有后台,但不是所有网站后台都可以看所有东西
再说了,你一个人网站,你愿意把后台管理密码给有关部门?
所以有关部门要看某个账户的设置信息,要看他发表的所有文章,所有的短消息怎么看?
你给提供?有关部门信任你么?
如果你有心专门给有关部门开发一套东西,就像腾讯那样也可以
可惜大部分网站都没这功能
再说有关部门那些人你以为水平很高?他就是找你要帐号密码你怎么办?
【在 N*****m 的大作中提到】
: 看不懂你在说啥,跟信不信这些公司有啥关系
: 不信自己去看好了,密码明文不明文没啥意义
|
s*********t
发帖数: 4253 | 35 明白了。。原来密码就是这样写的啊。。我的搞到复杂死了。。。 |
s******m
发帖数: 1154 | 36 下载了一个泄露的密码文件,试了一下,我靠,真的就进入别人的邮箱了 |
I*****y
发帖数: 602 | 37 我的账号好像没问题,用了个在线查询的没有查到。
n年前注册的。
【在 s******m 的大作中提到】
: 下载了一个泄露的密码文件,试了一下,我靠,真的就进入别人的邮箱了
|
n******7
发帖数: 12463 | 38 完了 我的通用密码泄露了
再想一个是件很头疼的事情。。。
有些网站有些奇怪的限制 |
p**o
发帖数: 3409 | 39 散列两次就行了,数据库存第一次(加盐)散列值,升级第二次散列函数
【在 a9 的大作中提到】
: 不存明文,他的md5不可能升级了。要是存了明文,想升级成啥就升级成啥,哈哈。
:
: md5
|
w*****g
发帖数: 1415 | 40 我的淘宝帐号和CSDN帐号同样的帐号,同样的密码。4天前接到淘宝的信,说我的淘宝
帐号疑似被盗,让我解锁修改密码。 |
