最近的新聞報道了幾起黑客高調攻擊密碼系統的事件,包括中國的一號店和美國的linkedin,這兩次攻擊都造成了使用者密碼的洩漏。太不幸了,應該避免這樣的事情發生,因為它降低了整體消費者的信心,特別是在網際網路和電子商務領域。在雲絡公司,我們為自身超強的安全策略和幫助我們的客戶不斷提高他們的系統安全而自豪 — — 我們還為您提供免費的系統安全審核,來看看您做的怎麼樣。
一號店是最愚蠢的,似乎他們在系統中採用了純文字格式來儲存密碼。這是種低劣的做法,不管什麼原因都不應該被使用。很明顯,對資料庫具有訪問許可權的任何人,包括黑客、程式設計師和許多其他人,可以看到、使用和**密碼。另外,很多人在許多系統中使用相同的密碼,所以如果有人知道使用者小明在乙個系統使用的乙個密碼,他就可以嘗試小明在其他所有系統中使用的密碼,包括企業、**、金融、健康和其他敏感的系統。
linkedin則好得多,使用了md5或者sha-1加密的雜湊密碼,這是很好很標準的密碼保護方法,但是這在今天已經不夠好了。幾十年來的已知原因,有兩種方法可以用來破解這種密碼。第一種,由於相同的密碼將會得到相同的雜湊值,所以如果我的密碼雜湊值和你一樣,都是"34ah8cd",我就會知道我們的密碼是相同的,我就可以用我的密碼登入到您的帳戶。第二種是常見的雜湊值表,又叫做彩虹表,可以預先計算a、b、test等幾百萬常見密碼的md5雜湊值,然後編成一張表。黑客在得到加密的使用者密碼雜湊表後,需要做的所有事情就是比對密碼表與彩虹表的結果,這種方法很常見 —— 也是linkedin密碼洩漏事件中使用的方法之一。
如何防止這種情況呢?一言以蔽之,再給密碼加點料。不是真的加料,而是在雜湊演算法之前為密碼新增一部分額外的隨機資料。這種方式可以使得兩個相同的密碼會有不同的雜湊值。unix的密碼機制早已實現了這種功能,總是為密碼附加12位隨機數,但是現在附加48位和128位也是常見的,並且往往結合了附加隨機數和多次雜湊。
所有新的和公升級後的系統都應使用附加隨機數和雜湊加密的方法來建立安全的密碼,以保護他們的使用者、系統和資料。並且,您也應該為移動**號碼、電子郵件和交易歷史記錄(一號店的這些資料也全部被盜了) 等非密碼資料做好保護工作,譬如限**務器的訪問許可權,清除從資料庫匯出的用於開發和測試的所有此類資料,等等。另外,切記在資料離開伺服器前加密您的備份。
我們應該如何保護使用者的密碼
最近幾年的新聞中一直有網際網路頭部公司系統被攻擊導致使用者密碼洩露的新聞。那密碼被破解肯定和當初專案伊始時選擇的密碼雜湊方案造成的歷史包袱有關。我們不討論這些網際網路巨頭應該採用什麼方案防止使用者密碼被破解,我知道的方案人家養的那些技術大拿更知道了。我們就來說一下,如果我們有機會自己從零開始做乙個系...
你是如何保護使用者的密碼的?
只要有會員系統的 就會涉及到密碼,如果處理不好就會造成前陣子那種事。下面我就說說我在開發時是如何處理密碼這塊功能的。首先,密碼必須加密,但簡單的md5加密已經沒有太大意義,為了防止字典破解,我會給密碼加鹽後在md5,我一般是用使用者自己的密碼當鹽。這一步操作後基本上就不怕資料庫暴露了,接下來要做的就...
訪問帶有使用者名稱 密碼保護的 URL
轉 一 url,統一資源定位器。指向網際網路上的 資源 可協議名 主機 埠和資源組成 如 http username password host 8080 directory file?query ref 步驟1 建立 url url url new url urlstring 步驟2 為speci...