出事網(wǎng)站儲存密碼方式很原始
“我的信息誰做主?”眾網(wǎng)友在質(zhì)疑的同時也心存疑問,作為國內(nèi)知名的網(wǎng)站,其數(shù)據(jù)庫怎會如此脆弱����。
濟南市公安局歷城分局網(wǎng)警大隊中隊長李玉森與電腦打交道30余年,擁有豐富的網(wǎng)絡(luò)安全知識。他介紹,密碼的存儲和驗證過程簡單來說就是:用戶輸入密碼,密碼被傳輸?shù)椒?wù)器,服務(wù)器將密碼存儲起來(注冊)或和已經(jīng)存儲的密碼比對(登錄)��。
“三個步驟都有可能遭到黑客的攻擊��。此次事件則是在第三個步驟中數(shù)據(jù)庫被攻擊�?!崩钣裆f,網(wǎng)站數(shù)據(jù)庫泄露多是因網(wǎng)站程序或服務(wù)器系統(tǒng)存在漏洞,被黑客入侵造成,安全術(shù)語為“拖庫”�����。
“現(xiàn)在多數(shù)網(wǎng)站的數(shù)據(jù)庫使用的是加密密碼,黑客進(jìn)入也很難破譯��。但不可思議的是,CSDN的數(shù)據(jù)庫使用的竟然是明文儲存密碼�����?���!崩钣裆f,明文密碼就是直接將用戶的密碼存到數(shù)據(jù)庫中,此種方式的安全性不言自明。
國內(nèi)一家網(wǎng)站技術(shù)總監(jiān)藍(lán)葛亮說,國內(nèi)知名網(wǎng)站的防火墻等技術(shù)都比較先進(jìn),可數(shù)據(jù)庫采用明文密碼,只要接觸數(shù)據(jù)庫的人就能夠輕易獲知,管理上的漏洞可見一斑��。
雖然CSDN稱,此次泄露的數(shù)據(jù)庫是2009年前使用的,2009年后網(wǎng)站已改用加密密碼,“但這更說明網(wǎng)站管理上可能存在漏洞���?��!本W(wǎng)絡(luò)安全專家說。
密碼應(yīng)分類設(shè)置,半年換一次
中國互聯(lián)網(wǎng)絡(luò)信息中心此前發(fā)布報告顯示,今年上半年,遭遇病毒或木馬攻擊的網(wǎng)民有2.17億,占網(wǎng)民總數(shù)的44.7%����;有賬號或密碼被盜經(jīng)歷的網(wǎng)民達(dá)1.21億��;另有8%的網(wǎng)民曾遇到過消費欺詐�����。
很多網(wǎng)友都用一個用戶名和密碼通行各網(wǎng)站,一旦一個賬號密碼泄露,就可能波及到所有重要賬號的安全?��!熬W(wǎng)友所遭受的損失也可能被幾倍的放大���。”曾經(jīng)查辦多起網(wǎng)絡(luò)案件的李玉森對此非常擔(dān)憂��。 “比如不法分子在網(wǎng)絡(luò)游戲中處理用戶的虛擬財產(chǎn)��、盜竊Q幣等����。”李玉森更擔(dān)心的是,不法分子竊取用戶的聊天賬號進(jìn)行網(wǎng)絡(luò)詐騙�����。他們近期已接到多起類似的案件���。
前些天,濟南的王女士與遠(yuǎn)在貴州上學(xué)的兒子QQ聊天��。兒子提到一個很好的同學(xué)突患重病,急需錢進(jìn)行治療��。王女士沒多問,給其匯過去7萬元錢���。后來她給兒子打電話,卻被告知根本沒這回事��?���!霸瓉硗跖績鹤拥腝Q號被人盜走了����。”李玉森說,此類網(wǎng)絡(luò)詐騙案件偵破難度非常大�。
“網(wǎng)站自身需要設(shè)置能有效防黑客攻擊的技術(shù)架構(gòu),完善內(nèi)部管理,網(wǎng)友則要裝殺毒軟件和防火墻,設(shè)置高強度的密碼?����!彼{(lán)葛亮認(rèn)為,多層面加強互聯(lián)網(wǎng)安全迫在眉睫��。
藍(lán)葛亮建議網(wǎng)友對密碼進(jìn)行分類設(shè)置,分成核心密碼、一般密碼和不重要密碼����。“例如銀行�、郵箱、QQ等核心密碼至少采用16位長度的密碼,而且必須是數(shù)字���、大小寫字母和特殊符號的組合,并且與自己的任何信息都無關(guān),半年換一次?!?/p>