这是一个创建于 2598 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近华住酒店数据库泄露,但是看到暗网上售卖的信息居然还包括账户的登陆密码。 联想到以前几次脱库,比如之前网易 163 邮箱被脱,也是让大家更改密码。 可是身份信息也就罢了,为什么登陆密码也会泄露呢? 难道现在还有明文储存密码的公司吗?
可能这个问题有点蠢,请问有了解的 v 友吗。
 | 1 bubuyu 2018-08-30 13:52:46 +08:00 因为很多人都用同样的密码 |
 | 2 p2pCoder 2018-08-30 13:54:03 +08:00 暴力破解 |
 | 3 nl101531 2018-08-30 13:54:59 +08:00 via Android 据说弱密码 000000,123456,666666,888888,这四个密码可以破解中国 30%的银行卡密码。 |
 | 4 f2f2f 2018-08-30 13:55:11 +08:00 社工库啊 |
 | 5 A555 2018-08-30 13:56:25 +08:00 简单的哈希 彩虹表对照就能知道,然后就是撞库 |
 | 6 yksoft1 2018-08-30 14:01:00 +08:00 你看了放出来那些验证数据么?没加盐。 |
 | 7 Tianao 2018-08-30 14:01:11 +08:00 「难道现在还有明文储存密码的公司吗」 是的,还有很多。 不过包括本案在内的大多数密文密码遭解密都是依靠彩虹表、反哈希运算实现的。 |
 | 9 NotNil1 2018-08-30 14:06:01 +08:00 @R18 弱密码虽然是禁止设置的,但是下发的卡初始密码可能就是这些,比如农村养老金,补助发放,保险缴款等银行卡,初始密码就是 123123,或者 123456,你不改其实也没有明确限制你不可用,所以还是客观存在的。 |
 | 10 indev 2018-08-30 14:06:37 +08:00  1 再怎么说也要简单加密一下吧,还是用第三方登录会方便些。 另外推荐一个密码管理的小东东:(Lesspass)[https://github.com/lesspass/lesspass],不是那个 Lastpass。还有它的 (cli)[https://github.com/lesspass/lesspass/tree/master/cli] 也挺好用,再也不用担心使用弱密码了,也不用费心什么同步的问题 |
 | 11 solomensec 2018-08-30 14:11:40 +08:00 via iPhone 是个人信息泄漏,不是密码,密码有什么用。 |
 | 12 WuwuGin 2018-08-30 14:14:30 +08:00 via Android 很多国产框架对密码的处理就是 md5 |
 | 13 yoqu 2018-08-30 15:07:34 +08:00 1 因为有门学科叫做社会工程学 |
 | 14 ClutchBear 2018-08-30 15:16:19 +08:00 因为常用的密码的 md5 都被算出来了, 根据这个 md5 值反向查找就行了啊. |
 | 15 xuanbg 2018-08-30 15:17:26 +08:00 很多人(包括我自己)在各大网站的密码都是一样的,如果有个网站被脱了裤,不幸密码还是明文存储的,那么别的网站的密码也就泄露了。 |
 | 16 helionzzz 2018-08-30 15:35:27 +08:00 当然也有可能这个账户就是一个新建的 |
 | 17 lasuar 2018-08-30 18:38:43 +08:00 你奢望酒店,饭店,便利店,超市有多安全的 IT 服务? |
 | 18 MonoLogueChi 2018-08-30 18:58:38 +08:00 via Android 拖库,撞库,彩虹表 |
 | 19 UnluckyNinja 2018-08-30 19:15:26 +08:00 记得好像密码泄露是说数据库本身后台的密码? |
 | 20 Hconk 2018-08-30 19:29:02 +08:00 via Android mysql5 没加盐,弱密码彩虹表可破 |
 | 21 cjw1115 2018-08-30 20:05:51 +08:00 via Android 华住的密码是处理过得,但是防不了别人猜呀 |
 | 22 loveour 2018-08-30 22:44:51 +08:00 之前 csdn 密码泄露的时候,我就下定决心所有地方密码不要一样,然后写了个工具自己生成密码,但是很快就变懒了,虽然很多地方还是不一样,虽然尽量开了二次验证,但是还是有一些密码复用了。。现在就是尽量做到按照类别复用不同的密码吧,以及新注册的就尽量用生成的密码浏览器记住了。 |
 | 23 q397064399 2018-08-30 22:48:51 +08:00 @loveour #22 只有 2 次验证是最靠谱的 |
 | 24 zinplus OP @loveour 2 次验证最安全。但是并不是所有网站都有二次验证功能。为了避免密码重复的问题,我是记住一套公式,然后根据网站的域名来变化,这样每个网站密码都不一样,而我也能记住所有的密码..希望有帮助 |
 | 26 zhujiulin 2018-08-31 06:57:53 +08:00 很多都是明文的 md5 都没有 因为他们也用得到你的密码 |
 | 28 passerbytiny 2018-08-31 09:08:54 +08:00 @q397064399 2 次验证你得看是啥验证,手机短信作为二次验证,一个手机号对应的账号多了,比密码还不安全。 |
 | 29 zhaogaz 2018-08-31 10:23:50 +08:00 只要我的密码足够随机,别人就猜不到我。哈哈哈哈 不过在其他数据都有的情况下,密码本身就不重要了。 |
 | 30 ChasYuan 2018-08-31 10:43:10 +08:00 via Android 明文存储的,还不少。何况这些非互联网非技术性企业。 |
 | 31 046569 2018-08-31 10:51:18 +08:00 https://www.046569.com/2018/05/26/one-line-of-code-contains-two-vulnerabilities.html 前一阵子写的博客,应该可以解答 LZ 的疑惑. 简单的说,没有正确编写登录验证逻辑. |
 | 32 dzhhh 2018-08-31 11:54:30 +08:00 有些明文,有些没盐,比较简单的加密直接字典去撞,大部分是弱密码 |
 | 33 momocraft 2018-08-31 12:12:26 +08:00 明文 没盐 有等于没的盐 有些行业可能加盐都没有成为普遍认识,我收到过某家国内航空公司“密码系统已升级为 8 位,请在旧密码前加 11 登录”的邮件 |
 | 34 snw 2018-08-31 12:26:30 +08:00 理想做法是一个密码一个盐,实际上用同一个盐很常见。理想做法是用强健的哈希算法,实际上随手套两三层 md5 就算解决问题很常见。 有时候可能是觉得这业务不重要所以安全措施随便做做就行,没想到后来业务发展太好了再想改进就很难。 |
 | 36 mostkia 2018-08-31 13:09:39 +08:00 除了脱裤,还有撞库什么的。其实类似 MD5 这类加密,只要密码比较简单,就有可能得到明文,如果数据库用户足够多,就有了足够的明文账户+密码,这时就可以尝试去别的网站批量登陆,人总是怕麻烦的,总会有人会使用相同的账户和密码。这样就导致了其他第三方的网站,即使没有被入侵,也会导致用户被盗取的情况。 |
 | 37 bk201 nbsp; 2018-08-31 13:12:06 +08:00 这就是传统行业老找外包,不关注自己技术团队建设的恶果 |
Select Language