Posts Tagged ‘tianya’

用户信息泄密门的一点个人思考-算法变形

星期一, 一月 2nd, 2012

因为我只懂使用易语言,所以只用易语言进行演示….
在CSDN和天涯等数据被泄露的事件中,无一不暴露出开发商与开发平台对用户信息的保护薄弱,很多平台居然使用的是明码保存用户信息和密码.
目前使用最广泛的加密方式是MD5加密,对于网上说的MD5对碰破解,因为对这方面没有怎么接触过,不过我大致以为,所谓的MD5碰撞破解可能就是把常用的一些用户名和密码事先用MD5加密后存入数据库,这样可以得知这些用户名和密码MD5加密后的内容,例如:
admin|123456789MD5加密过后的内容就是07abd66a8edf1bdd4b0ec3aefd79d26a在得到用户名和密码后,可以用MD5加密这些数据再和数据库里的碰撞对比,如果加密后的MD5哈希值是07abd66a8edf1bdd4b0ec3aefd79d26a那我们就知道用户名和密码是admin|123456789.
简单的MD5加密可能会被破解,但是如果开发平台或开发者在加密注册用户信息的时候添加指定的字符窜或内容再进行加密,或者多重MD5加密后再把数据保存进数据库,以后用户登录的时候,再用这个数据去对碰数据库里的数据,相信安全性能会高很多,被破解的概率也会小很多.

.版本 2
.支持库 dp1

.程序集 窗口程序集1

.子程序 _按钮1_被单击

.如果 (编辑框1.内容 ≠ “” 且 编辑框2.内容 ≠ “”)
    编辑框3.内容 = 取数据摘要 (到字节集 (编辑框1.内容 + “|” + 编辑框2.内容))
    ' 置剪辑板文本 (编辑框3.内容)
    编辑框4.内容 = 取数据摘要 (到字节集 (编辑框1.内容 + “|” + 编辑框3.内容))
.否则
    信息框 (“您没有输入用户名或密码,请重新输入!”, #信息图标, 标题)
.如果结束


天涯社区四千万用户数据外泄

星期日, 十二月 25th, 2011

继前几日CSDN网站被爆出明文存储的用户数据库被窃取之后,今天网上又爆出天涯社区4000万用户资料泄露,账号密码邮箱明文保存,该资料已经网上传播,初步验证为有效数据。

  天涯社区自称是“全球最具影响力的中文论坛”,创办于1999年,目前,天涯社区注册用户超过6000万,在国内社区型网站颇具人气,而此次泄漏的用户数量达到总数的60%以上。

  据天涯网新浪微博上的介绍,由于历史原因,天涯社区早期使用过明文密码,2010年之后改成了加密密码。此次遭到黑客泄漏的用户便是2009年保存的备份数据。

  该份高达386M的泄漏文件“天涯数据.kz”经过下载验证,里面保存了天涯的用户名、密码、邮箱三个数据,根据泄漏的天涯用户名和密码测试,大部分都可以可直接登录到天涯社区。从密码的构成看,泄密的密码很多并非是弱密码,而是8位以上的强密码,因此可以认为天涯的确是以明文方式保存的用户密码。

  明文存储密码这种蠢事原来并不是CSDN一家网站的个例,大名鼎鼎的天涯社区竟然也这么干,并且在2010年才修正,以前的明文密码也不清除,如此对待用户的个人隐私,天涯实在是令人大跌眼镜。现在用户真的需要扪心自问,中国的那些所谓的大网站,你究竟还信任哪一家?

因此,曾经注册过天涯社区的用户,如果你在天涯的用户和密码也在其他网站使用,那么请立刻修改你的密码为一个新密码,密码设置方法参见我早先的文章《个人密码安全策略》。

  目前,天涯社区已经在新浪微博上就4000万用户密码泄露一事发布声明和对用户的致歉信,称已向公安机关报案,并呼吁用户修改密码。以下是声明: