最近CSDN和天涯的明文密码泄露事件,之所以如此受到关注,第一是,波及的用户太广,第二是,密码是明文。
首先是波及的用户广,这主要原因是用户倾向于在多个网站使用同样或者类似的用户名和密码,所以密码被公布之后,也严重影响了其他网站的信息安全,这几天,众多国内知名网站纷纷给用户发邮件,要求修改密码,一网被破,全网遭殃。用户的安全行为可以被引导,但是可靠的安全加密方式更是必不可少。
然后,最闪亮的地方,密码是明文(明文即没有被加密的原始文字)。要密码不是明文,黑客们拿到密码的密文,只要加密算法还OK,那么还不能轻易拿到明文。可惜啊,CSDN和天涯保存的用户的密码是明文,没有任何的加密,连做个MD5都没有(尽管MD5,SHA1已经不再安全)。CSDN作为技术网站出现这样的问题,让人感到心寒,难道连这样的信息安全意识都没有吗?换个角度想,既然密码没有加密,那是网站的工作人员也可以随意查看用户名和密码吗?在两家网站的公开声明中,都有类似“2009年某月之后开始加密,在这个日期之前的密码部分做了加密处理”,这样类似的推辞,以说明他们已经为安全做了努力。其实,这完全是在说谎。若真的做了努力,那么所有用户的密码都应该加密,这在服务器后能够处理的,尽管数据庞大,但是依然是可处理的。因为用户在前台登陆使用密码,不会感觉到后台的验证方式有什么变化,而这两家网站根本没有去做。他们试图让大众以为给密码加密是一件很困难的事情,其实解决方案很简单。尽管那样做了也不能保证安全(传输信道的安全仍然是问题,必须用ssl 也就是https来解决),但是至少密码不会在服务器直接以明文的方式保存。
普通的用户的安全意识不是那么强烈,这是现实,但是作为网站来讲,力所能及的安全防护都没有做到,这就说不过去了。
我建议,这两家网站应该给予其他网站和用户赔偿,甚至其他的网站可以提请诉讼,申请赔偿。
目前国内几大门户网站应该特别留意了,毕竟网站开始时间较早,用户巨大,可能也会存在类似的安全问题,一旦门户网站出现了漏子,那就惨了。
目前discuz, phpwind这样类型的社区网站,只要源代码维护方能够及时加强安全,应该泄露的问题不太可能发生。
