CSDN爆库内幕:密码为什么明文存放?

标签: csdn 内幕 密码 | 发表时间:2011-12-25 05:23 | 作者:36氪
出处:http://dongxi.net/

近期频频暴露 国内大网站明文保存用户密码的问题,也许你已经重置了大部分常用密码,但是否从此就安全了呢?溯源究底,网友shell总结了一以下几点 密码需要明文存放的原因:

1.不用明文密码没法应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。

2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。更神奇的是,这些人中,有一家银行…

3.自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。
实话说,这种人真是少数中的少数。

4.遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。

5.世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说过的国家。

而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码…

6.为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能,我们就必须保存明文密码。

看来,此次CSDN爆库事件需要引发我们的更多思考,关于网站明文保存密码,你是否还有其他看法么?

配图来源: topsecretwriters

除非注明,本站文章均为原创或编译,转载请注明: 文章来自 36氪
   查看评论

相关 [csdn 内幕 密码] 推荐:

CSDN爆库内幕:密码为什么明文存放?

- - 东西
近期频频暴露 国内大网站明文保存用户密码的问题,也许你已经重置了大部分常用密码,但是否从此就安全了呢. 溯源究底,网友shell总结了一以下几点 密码需要明文存放的原因:. 大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码. 如果你没法给出,上头就认为你不配合,事情各种难搞. 作为审查机构的老板,当然没必要知道明文密码的危害.

粗略统计CSDN泄漏的密码

- - keakon的涂鸦馆
这次CSDN的账号密码泄漏,我出于好奇,就写了个Python脚本来分析这些600多万密码. 结果发现大多数用户的密码长度在8~14位之间,有29万用户的用户名和密码相同,有289万个密码为纯数字,最常用的10个密码为:123456789、12345678、11111111、dearbook、00000000、123123123、1234567890、88888888、111111111和147258369.

CSDN被爆库:看看技术宅都爱用什么密码?

- - 36氪
谈到密码问题,普通青年一般喜欢用123456;文艺青年喜欢用5201314;二逼青年则喜欢用888888. 那么攻城狮,程序猿爱用哪些密码呢. 我们一起来看看这次被 爆库的600多万CSDN最常用密码(以下图表由 Xueqiao Xu统计):. 以下再附上一份国外图片和幻灯片分享网站RockYou.com被爆库后所统计的 最常用密码,看看国外的人喜欢用什么样的密码:.

我来CSDN的这一年

- keso - robbin的自言自语
从ITeye(JavaEye)被CSDN收购,我从上海搬家到北京上班,眨眼之间已经过去了一年多. 回顾过去这一年,生活环境发生了巨大改变,工作的职责和角色也重新定位,面临了一些新的困难和挑战. 总体来说,感觉自己这一年过得很充实,很有成就感,在公司的大力支持下,计划做并且花了时间和精力努力的事情基本都做成了,如果要给自己打分的话,我会打80分.

2010年度CSDN十大博客文章

- Calvin998 - 《程序员》杂志官网
概要:这是一篇2009年写下的博文,但我们却愿意将它评选为“2010 年度CSDN十大博客文章”之首. 因为这篇“慢热型”的博文,整个2010年内,在CSDN社区内被广泛转帖,并得到网友们的交口称赞. 本文作者岑文初根据自身经历,总结出六条秘籍:爱这行;踏踏实实打好基本功;注重日常积累,厚积薄发;技术上做到既广且钻;培养分析问题能力,善于追根溯源;全面培养能力,不做纯粹“技术人员”;阿里巴巴六脉神剑文化.

python 中文文本分类 - CSDN博客

- -
3,结构化表示--构建词向量空间. 即已经分好类的文本资料(例如:语料库里是一系列txt文章,这些文章按照主题归入到不同分类的目录中,如 .\art\21.txt). 推荐语料库:复旦中文文本分类语料库,下载链接:http://download.csdn.net/detail/github_36326955/9747927.

分析CSDN泄漏数据信息的一些数据

- mazhechao - cnBeta.COM
CSDN这次数据泄漏,同时也给了我们一些有趣的分析数据. 我们可以轻松地统计挨踢人士的邮箱使用情况,以及通常的密码长度等信息:.

CSDN数据库泄露!那些网站够安全吗?

- - 死理性派 - 果壳网
CSDN 社区网站数据库泄露 ,近 600 万用户真实账号密码外泄. 该事件横扫整个中文互联网,并且随后又爆出. 多玩游戏 800 万用户资料被泄露 ,另有传言人人网、开心网、天涯社区、世纪佳缘、百合网等社区都有可能成为黑客下一个目标. 一时间人人自危,更换密码者无数. 为什么一瞬间就有这么多密码被轻易获取,而一般的网站又是如何保护用户密码的.

CSDN 完成 A 轮融资,涉及金额千万美元级别

- - TECH2IPO创见
国内最大的 IT 技术社区和服务平台 CSDN 完成 A 轮融资,涉及金额千万美元级别,具体金额未透露,投资者包括宽带资本、方广资本、英特尔投资. CSDN 创立于 1999 年,注册用户超 2700 万,月活跃会员 800 万,注册企业及合作伙伴 50 万. 全球最大中文IT技术社区: . 中国最具影响力、最权威IT专业技术期刊: .

hadoop编程:分析CSDN注册邮箱分布情况

- - CSDN博客云计算推荐文章
hadoop编程:分析CSDN注册邮箱分布情况. 本文博客链接: http://blog.csdn.net/jdh99,作者:jdh,转载请注明. 主机:Ubuntu10.04. hadoop版本:1.2.1. 开发工具:eclipse4.4.0. 要求:原始数据共6428632条,分析不同邮箱的注册情况,并按使用人数从大到小排序.