|
沙发
楼主 |
发表于 2011-12-27 10:58:59
|
只看该作者
前日有网友反映称CSDN的用户数据库被黑,642万余用户资料被泄露,CSDN网站证实了这一事故。
这两天网站数据库被黑事件急剧升温,天涯社区、开心网、世纪佳缘、百合网、美空网等网站的“密码集”也先后出现在网络上,受影响的网站预计达数十家。网易邮箱、人人网、开心网等常用邮箱和SNS网站都先后发出通知,建议用户修改密码。网友们戏称“互联网的冬至”来了。
专家表示,此次失窃的只是密码集,用户只要及时修改密码即可避免隐私失窃,因此不用恐慌。但用户修改密码只是“治标”,网站改变数据存放策略才是“治本”。
642万余网民中
23.5万人密码是“123456789”
有网友爆出CSDN的用户数据库被黑,642万余用户资料被泄露,CSDN官方随后证实了此事,称此数据库系2009年CSDN作为备份所用。CSDN随后向用户发表了公开道歉信,并称已向公安机关报案,现有的2000万注册用户的账号密码数据库已经全部采取了密文保护和备份。
令人深思的是,网络专家分析此次CSDN泄露的642万余个数据后得知,“123456789”竟然成了用户最常用的密码,用户数达到了235024位,占所有用户的3.66%;“12345678”是第二常用密码,用户数达212751位,占3.31%;“11111111”排名第三,用户数达76346位,占1.19%。
45%的用户选择了纯数字密码,12%选择纯字母密码,只有39%的用户选择数字+字母的组合密码。这样的密码设置,是否靠谱不言而喻。
近两日密码泄露愈演愈烈。继CSDN用户数据库泄露之后,黑客开始公开更多国内网站的用户数据库,先后有疑似多玩游戏、78、嘟嘟牛、猫扑等网站的用户资料出现在网上。
出事网站储存密码方式很原始
“我的信息谁做主?”众网友在质疑的同时也心存疑问,作为国内知名的网站,其数据库怎会如此脆弱。
济南市公安局历城分局网警大队中队长李玉森与电脑打交道30余年,拥有丰富的网络安全知识。他介绍,密码的存储和验证过程简单来说就是:用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)或和已经存储的密码比对(登录)。
“三个步骤都有可能遭到黑客的攻击。此次事件则是在第三个步骤中数据库被攻击。”李玉森说,网站数据库泄露多是因网站程序或服务器系统存在漏洞,被黑客入侵造成,安全术语为“拖库”。
“现在多数网站的数据库使用的是加密密码,黑客进入也很难破译。但不可思议的是,CSDN的数据库使用的竟然是明文储存密码。”李玉森说,明文密码就是直接将用户的密码存到数据库中,此种方式的安全性不言自明。
国内一家网站技术总监蓝葛亮说,国内知名网站的防火墙等技术都比较先进,可数据库采用明文密码,只要接触数据库的人就能够轻易获知,管理上的漏洞可见一斑。
账号或密码被盗 可能让你遭遇网络诈骗
中国互联网络信息中心此前发布报告显示,今年上半年,遭遇病毒或木马攻击的网民有2.17亿,占网民总数的44.7%;有账号或密码被盗经历的网民达1.21亿;另有8%的网民曾遇到过消费欺诈。
很多网友都用一个用户名和密码通行各网站,一旦一个账号密码泄露,就可能波及所有重要账号的安全。“网友所遭受的损失也可能被几倍放大。”曾经查办多起网络案件的李玉森对此非常担忧。 “比如不法分子在网络游戏中处理用户的虚拟财产、盗窃Q币等。”李玉森更担心的是,不法分子窃取用户的聊天账号进行网络诈骗。他们近期已接到多起类似的案件。
前些天,济南的王女士与远在贵州上学的儿子QQ聊天。儿子提到一个很好的同学突患重病,急需钱进行治疗。王女士没多问,给其汇过去7万元钱。后来她给儿子打电话,却被告知根本没这回事。“原来王女士儿子的QQ号被人盗走了。”李玉森说,此类网络诈骗案件侦破难度非常大。
专家建议 设置密码要分级
对于密码安全的问题,在中关村打拼多年的IT专家李尚指出,用户设置密码时要按使用频度和重要性不同来分级,比如论坛账号、游戏账号、支付账号的密码一定要分开,且都不要设置得太简单,这样才能避免一家网站密码失窃导致个人的整个网络安全都不保的情况。
此次CSDN事件后,有人写了一个小程序,统计了这次公布的6428632个密码,统计结果显示,有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首。“有人说最简单的密码最安全,其实不对,最简单的最不安全。”
李尚同时指出,注册用户及时更改自己的密码只是“治标”的方法,而想要“治本”,需要CSDN等一系列网站立即改变数据存储策略,使用数据库加密功能对密码等敏感信息加密,“这个功能很多数据库都支持,不知道CSDN为什么就没用,这事也给其他网站一个警示,数据库加密刻不容缓。”据齐鲁晚报、南方日报等报道
|
|