- 政策解读
- 经济发展
- 社会发展
- 减贫救灾
- 法治中国
- 天下人物
- 发展报告
- 项目中心
出事网站储存密码方式很原始
“我的信息谁做主?”众网友在质疑的同时也心存疑问,作为国内知名的网站,其数据库怎会如此脆弱。
济南市公安局历城分局网警大队中队长李玉森与电脑打交道30余年,拥有丰富的网络安全知识。他介绍,密码的存储和验证过程简单来说就是:用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)或和已经存储的密码比对(登录)。
“三个步骤都有可能遭到黑客的攻击。此次事件则是在第三个步骤中数据库被攻击。”李玉森说,网站数据库泄露多是因网站程序或服务器系统存在漏洞,被黑客入侵造成,安全术语为“拖库”。
“现在多数网站的数据库使用的是加密密码,黑客进入也很难破译。但不可思议的是,CSDN的数据库使用的竟然是明文储存密码。”李玉森说,明文密码就是直接将用户的密码存到数据库中,此种方式的安全性不言自明。
国内一家网站技术总监蓝葛亮说,国内知名网站的防火墙等技术都比较先进,可数据库采用明文密码,只要接触数据库的人就能够轻易获知,管理上的漏洞可见一斑。
虽然CSDN称,此次泄露的数据库是2009年前使用的,2009年后网站已改用加密密码,“但这更说明网站管理上可能存在漏洞。”网络安全专家说。
密码应分类设置,半年换一次
中国互联网络信息中心此前发布报告显示,今年上半年,遭遇病毒或木马攻击的网民有2.17亿,占网民总数的44.7%;有账号或密码被盗经历的网民达1.21亿;另有8%的网民曾遇到过消费欺诈。
很多网友都用一个用户名和密码通行各网站,一旦一个账号密码泄露,就可能波及到所有重要账号的安全。“网友所遭受的损失也可能被几倍的放大。”曾经查办多起网络案件的李玉森对此非常担忧。 “比如不法分子在网络游戏中处理用户的虚拟财产、盗窃Q币等。”李玉森更担心的是,不法分子窃取用户的聊天账号进行网络诈骗。他们近期已接到多起类似的案件。
前些天,济南的王女士与远在贵州上学的儿子QQ聊天。儿子提到一个很好的同学突患重病,急需钱进行治疗。王女士没多问,给其汇过去7万元钱。后来她给儿子打电话,却被告知根本没这回事。“原来王女士儿子的QQ号被人盗走了。”李玉森说,此类网络诈骗案件侦破难度非常大。
“网站自身需要设置能有效防黑客攻击的技术架构,完善内部管理,网友则要装杀毒软件和防火墙,设置高强度的密码。”蓝葛亮认为,多层面加强互联网安全迫在眉睫。
蓝葛亮建议网友对密码进行分类设置,分成核心密码、一般密码和不重要密码。“例如银行、邮箱、QQ等核心密码至少采用16位长度的密码,而且必须是数字、大小写字母和特殊符号的组合,并且与自己的任何信息都无关,半年换一次。”