最近华住酒店数据库泄露,但是看到暗网上售卖的信息居然还包括账户的登陆密码。 联想到以前几次脱库,比如之前网易 163 邮箱被脱,也是让大家更改密码。 可是身份信息也就罢了,为什么登陆密码也会泄露呢? 难道现在还有明文储存密码的公司吗?
可能这个问题有点蠢,请问有了解的 v 友吗。
1
bubuyu 2018-08-30 13:52:46 +08:00
因为很多人都用同样的密码
|
2
p2pCoder 2018-08-30 13:54:03 +08:00
暴力破解
|
3
nl101531 2018-08-30 13:54:59 +08:00 via Android
据说弱密码 000000,123456,666666,888888,这四个密码可以破解中国 30%的银行卡密码。
|
4
f2f2f 2018-08-30 13:55:11 +08:00
社工库啊
|
5
A555 2018-08-30 13:56:25 +08:00
简单的哈希 彩虹表对照就能知道,然后就是撞库
|
6
yksoft1 2018-08-30 14:01:00 +08:00
你看了放出来那些验证数据么?没加盐。
|
7
Tianao 2018-08-30 14:01:11 +08:00
「难道现在还有明文储存密码的公司吗」
是的,还有很多。 不过包括本案在内的大多数密文密码遭解密都是依靠彩虹表、反哈希运算实现的。 |
9
NotNil1 2018-08-30 14:06:01 +08:00
@R18 弱密码虽然是禁止设置的,但是下发的卡初始密码可能就是这些,比如农村养老金,补助发放,保险缴款等银行卡,初始密码就是 123123,或者 123456,你不改其实也没有明确限制你不可用,所以还是客观存在的。
|
10
indev 2018-08-30 14:06:37 +08:00 1
再怎么说也要简单加密一下吧,还是用第三方登录会方便些。
另外推荐一个密码管理的小东东:(Lesspass)[https://github.com/lesspass/lesspass],不是那个 Lastpass。还有它的 (cli)[https://github.com/lesspass/lesspass/tree/master/cli] 也挺好用,再也不用担心使用弱密码了,也不用费心什么同步的问题 |
11
solomensec 2018-08-30 14:11:40 +08:00 via iPhone
是个人信息泄漏,不是密码,密码有什么用。
|
12
WuwuGin 2018-08-30 14:14:30 +08:00 via Android
很多国产框架对密码的处理就是 md5
|
13
yoqu 2018-08-30 15:07:34 +08:00 1
因为有门学科叫做社会工程学
|
14
ClutchBear 2018-08-30 15:16:19 +08:00
因为常用的密码的 md5 都被算出来了,
根据这个 md5 值反向查找就行了啊. |
15
xuanbg 2018-08-30 15:17:26 +08:00
很多人(包括我自己)在各大网站的密码都是一样的,如果有个网站被脱了裤,不幸密码还是明文存储的,那么别的网站的密码也就泄露了。
|
16
helionzzz 2018-08-30 15:35:27 +08:00
当然也有可能这个账户就是一个新建的
|
17
lasuar 2018-08-30 18:38:43 +08:00
你奢望酒店,饭店,便利店,超市有多安全的 IT 服务?
|
18
MonoLogueChi 2018-08-30 18:58:38 +08:00 via Android
拖库,撞库,彩虹表
|
19
UnluckyNinja 2018-08-30 19:15:26 +08:00
记得好像密码泄露是说数据库本身后台的密码?
|
20
Hconk 2018-08-30 19:29:02 +08:00 via Android
mysql5 没加盐,弱密码彩虹表可破
|
21
cjw1115 2018-08-30 20:05:51 +08:00 via Android
华住的密码是处理过得,但是防不了别人猜呀
|
22
loveour 2018-08-30 22:44:51 +08:00
之前 csdn 密码泄露的时候,我就下定决心所有地方密码不要一样,然后写了个工具自己生成密码,但是很快就变懒了,虽然很多地方还是不一样,虽然尽量开了二次验证,但是还是有一些密码复用了。。现在就是尽量做到按照类别复用不同的密码吧,以及新注册的就尽量用生成的密码浏览器记住了。
|
23
q397064399 2018-08-30 22:48:51 +08:00
@loveour #22 只有 2 次验证是最靠谱的
|
24
zinplus OP @loveour 2 次验证最安全。但是并不是所有网站都有二次验证功能。为了避免密码重复的问题,我是记住一套公式,然后根据网站的域名来变化,这样每个网站密码都不一样,而我也能记住所有的密码..希望有帮助
|
26
zhujiulin 2018-08-31 06:57:53 +08:00
很多都是明文的 md5 都没有
因为他们也用得到你的密码 |
28
passerbytiny 2018-08-31 09:08:54 +08:00
@q397064399 2 次验证你得看是啥验证,手机短信作为二次验证,一个手机号对应的账号多了,比密码还不安全。
|
29
zhaogaz 2018-08-31 10:23:50 +08:00
只要我的密码足够随机,别人就猜不到我。哈哈哈哈
不过在其他数据都有的情况下,密码本身就不重要了。 |
30
ChasYuan 2018-08-31 10:43:10 +08:00 via Android
明文存储的,还不少。何况这些非互联网非技术性企业。
|
31
046569 2018-08-31 10:51:18 +08:00
https://www.046569.com/2018/05/26/one-line-of-code-contains-two-vulnerabilities.html
前一阵子写的博客,应该可以解答 LZ 的疑惑. 简单的说,没有正确编写登录验证逻辑. |
32
dzhhh 2018-08-31 11:54:30 +08:00
有些明文,有些没盐,比较简单的加密直接字典去撞,大部分是弱密码
|
33
momocraft 2018-08-31 12:12:26 +08:00
明文
没盐 有等于没的盐 有些行业可能加盐都没有成为普遍认识,我收到过某家国内航空公司“密码系统已升级为 8 位,请在旧密码前加 11 登录”的邮件 |
34
snw 2018-08-31 12:26:30 +08:00
理想做法是一个密码一个盐,实际上用同一个盐很常见。理想做法是用强健的哈希算法,实际上随手套两三层 md5 就算解决问题很常见。
有时候可能是觉得这业务不重要所以安全措施随便做做就行,没想到后来业务发展太好了再想改进就很难。 |
36
mostkia 2018-08-31 13:09:39 +08:00
除了脱裤,还有撞库什么的。其实类似 MD5 这类加密,只要密码比较简单,就有可能得到明文,如果数据库用户足够多,就有了足够的明文账户+密码,这时就可以尝试去别的网站批量登陆,人总是怕麻烦的,总会有人会使用相同的账户和密码。这样就导致了其他第三方的网站,即使没有被入侵,也会导致用户被盗取的情况。
|
37
bk201 2018-08-31 13:12:06 +08:00
这就是传统行业老找外包,不关注自己技术团队建设的恶果
|