科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全为什么ZF05推荐让我们使用统一密码

为什么ZF05推荐让我们使用统一密码

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在安全技术峰会上,一些知名人士也出现了安全方面的漏洞。现在,就让我们来看一下,从他们的错误中,可以吸取到什么样的教训。

作者:ZDNet安全频道 来源:TechRepublic【原创】 2009年10月23日

关键字: 信息安全 安全策略 密码 加密

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

在安全技术峰会上,一些知名人士也出现了安全方面的漏洞。现在,就让我们来看一下,从他们的错误中,可以吸取到什么样的教训。
--------------------------------------------------------------------------------------------

  从以前的一些文章中,你可以已经得知某些安全专家的个人网站受到了黑客攻击。如同连线网站上的文章所说的:

  由于拥有很高知名度的缘故,安全研究员丹·卡明斯基和前黑客凯文·米特尼克成为关注的焦点,根据留在卡明斯基网站上的一个文件中的内容显示,入侵者认为这两位更象是炒作自己的装腔作势者,对于安全领域没有什么实际贡献。

  凯文·米特尼克成名的原因是在1995年被作为美国历史的头号计算机罪犯逮捕。在离开了监狱拘留所后,他成为一名计算机安全顾问和作家,希望消除自己背负的恶名。

  丹·卡明斯基是一名安全研究员,目前担任IOActive公司渗透测试项目的主管。他受到关注的主要原因是对DNS缓存攻击的深入研究,并且在去年的黑帽简报会议进行了主题演讲。他还曾经展示出有力的证据,证明索尼臭名昭著的rootkit工具已经感染了超过56.8万台计算机。

  实际上,两大知名人士在安全方面出现问题仅仅是冰山的一角。黑客留下的一个文本文件就象一张电话卡,犯罪者分享了妥协方面的更多信息,实际上安全数据被从多台服务器上获取,安全方面的漏洞被揭示出来,并受到了嘲笑。在sucuri.net上,有该文件的副本,采用的是电子邮件格式的标题Zero For 0wned 5,非法“发布”专题的第五个文件——简称ZF05。

  在介绍部分的后面,ZF05分享了一些出现问题网站的信息,主要涉及到安全行业的,作为大众选择的“Pwnie奖”,在ZF05作者眼里也受到了痛斥,类似“Anti-sec”肇事者之类的语言也出现过。

  在所有这些有趣的新闻中(对于某些人来说都是坏新闻),最吸引我注意力的是PerlMonks为用户密码提供的保护措施,主要原因是在ZF05邮件列表中,它是唯一被列为存在缺陷的,尽管我已经有一段时间没有登陆过了,但我恰恰又拥有一个帐户。原来,在PerlMonks中,用户密码被保存在纯文本格式的数据库中,还没有进行过哈希处理。ZF05中的原话是:

  PerlMonks拥有者这么做的原因很简单:他们无法支持超过五万行的密码加密操作。

  你没看错,没有进行哈希处理。只是把它保存到数据库中。这样也方便了进行备份。

  不管你是否相信,其实perlmonks曾经就这个问题是否可行进行过讨论。按照现在的说法,就是说,如果儿童在精神上有缺陷的话,反而会是更聪明的。因此,由于太忙了和懒惰,我们将这个问题的选择权交给你。我相信你会搞明白的。

  其实,对于密码设置来说,这不算一个坏选择。程序员经常遇到有趣的事情。采用Perl家伙还好,只是有些沉默寡言。它们中的很多部分可以重复利用。你可以自己来进行研究,我真的不想特别指出任何人。

  这段内容说明的关键,当然是你永远都不应该在不同的站点上重复使用一个密码。应该对密码进行有效的管理;你只需要记住少数的关键密码,并将其余的密码保存在密码管理器中。

  当然,从ZF05邮件中也还可以获得其它方面的教训,并且,其中的相当大一部分内容读起来非常有趣。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章