科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全明文密码成隐患 安全专家解析防范方法

明文密码成隐患 安全专家解析防范方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

CSDN600万用户、天涯社区4000万用户的数据泄密事件刚刚落下帷幕。近日,又有“黑客”爆料,UC浏览器的用户密码可轻松被窃取。甚至表示,毫无“黑客”背景的人也可以在2个小时左右掌握窃取方法。

来源:CCTIME飞象网 2012年2月28日

关键字: 密码安全 明文密码

  • 评论
  • 分享微博
  • 分享邮件

  CSDN600万用户、天涯社区4000万用户的数据泄密事件刚刚落下帷幕。近日,又有“黑客”爆料,UC浏览器的用户密码可轻松被窃取。甚至表示,毫无“黑客”背景的人也可以在2个小时左右掌握窃取方法。更是引用了专家言论,称UC浏览器所存在的安全漏洞皆因使用明文密码存储用户资料所致,该泄露问题可能威胁2亿手机用户。

  在随后UC浏览器发布的声明中表示此安全漏洞并不存在。虽然事件真假无从辨别,但此报道一出便引发多家媒体进行刊登转载,表现出国内网民对于互联网安全隐私的重视以及对“明文密码”的敏感。

  “所谓的明文密码是指网站在存储用户密码与资料时采用的是可以看得懂的明文字符。即便是非IT技术高手,只要能进入数据库就可以拷贝用户密码等数据,直接形成可用数据库。之前CSDN以及天涯社区就是因为明文密码存储而被‘刷库’。国内知名互联网安全专家、用户交互设计专家263企业邮箱产品经理张晓丹表示,

  据张晓丹介绍,目前大部分的网站都已经采用了MD5不可逆加密算法。相较于明文传输来讲,MD5加密存储的安全性能大大提高。即便黑客进入数据库,也无法盗取用户密码。举个简单的例子,也许263企业邮箱的用户密码设置为123456,但数据库中所显示的可能是aaeee1a063ed2833,如果黑客不知道密码所对应的加密公式,就无法窃取到真实的密码。

  除了MD5这种方法之外,还有一种方法是通过内外网分离来解决“刷库”危机,263企业邮箱就采用了这种方式。将存储用户资料的数据库存放在内网里,而外网上面只是存放一些应用程序。即便外网服务器被黑客攻击,也不会对用户的隐私造成任何威胁。并且内外网之间采用独特的私有协议进行连接,入侵者根本无法找到入口。但由于这种方法所牵涉的成本以及后期维护费用较高,目前并没有太多的网站采用这种方式。

  如果黑客一定要获取263企业邮箱的用户密码,就必须先侵入外网服务器、然后寻找到私有协议入口、再入侵到内网服务器、进入数据库、拷贝密码并进行破解。虽然步骤是如此,但其中多个环节是不可能完成的。换而言之,想要盗取263企业邮箱用户密码简直难如登天一般。

  随着互联网的普及,会有越来越多的网民增强自身对于互联网安全的意识。除了用户养成良好的使用习惯之外,网站也要担负起净化互联网环境的责任。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章