2017年体检市场分析:许智翔：安全就是个笑话——密码泄露事件十问

许智翔：安全就是个笑话——密码泄露事件十问

2011-12-27 18:14:48

2011-12-27

安全是个笑话，让用户来完成安全更是笑话中的笑话。目前我们能做的只有用脚投票，放弃一些实在不安全的公司。在这场完完全全的灾难中，没有人会为我们着想，我们只能自己救自己。

许智翔

程序员、网络公司工程师、网名Shell

1：什么是明文密码？什么是密文密码？

就此次密码泄露事件来说，明文和密文是指密码在数据库里的存放方式。在网站的数据库里面，如果用户输入什么就保存什么作为密码，那么就是明文密码。而如果使用其他方法保存和验证密码，就是密文密码。

这个其他方法，最常见的是md5算法。用户输入密码时，通过算法得到一个不可逆转的值，然后存放数据库。md5算法本身很容易被攻击，因此需要用md5多次计算。

严格来说，使用了这些方法的网站，他们的数据库里面才能叫密文密码。仅仅使用md5是没有意义的。将密码保存为密文，管理员（root）才不能直接看到你的密码，尽管管理员可以去破解自己系统里你的密码密文来得到密码明文。

2：网站为什么不能保存明文密码？

网站使用明文密码，有一个最直接的危害——任何有数据库访问权限的人都能够看到你的密码。这次有个段子，说CSDN泄密后，一个程序员发现自己暗恋的MM的密码正好是自己的电话，从而成就了一段佳缘。但是真实的世界里，使用明文密码代表攻击者也可以直接看到你的密码。

当网站使用的是密文密码的时候，即使数据库里面的用户数据不小心泄漏。攻击者是不能知道你的原始密码，并且用于攻击其他网站的。

3：国内哪些网站是明文密码？

这个问题不重要，你的假定应该是，每个网站都是明文密码，怎么保证自己的安全。因为除非你很信任这个网站，否则它的保证没有什么效力。而且作为服务器端代码，基本每个网站的工程师都可以写一些程序来弄到你在网站上实际输入了什么密码。

本质上，每个网站一个密码才是王道，这个被我简称为“一次一密”（一次一密在密码学中另有含义）。每个网站的密码都不一样，就不大容易造成互相影响。另一种方式，就是找一句自己喜欢的英文或者拼音，用首字母缩写，倒过来，然后其中一位改成大写，加一个数字和符号。例如I will be back，密码就可以变为4bbWi(。

4：一次一密就安全了么？如果记不住密码呢？

实施一次一密是否安全——差远了去了。你有没有在别人机器上登录的经历？你可以信任他么？你自己家里装的一堆插件/程序你都相信么？你确定他们对你的银行密码没有兴趣？对你的名字和电话没有兴趣？你就确定这些软件商没有加入后门？现在你还敢在自己家里的机器上装中国软件么？如果一些知名软件，看着的人比较多，里面有恶意的概率可能相对较少。而其他小站点的各种软件就更不用说了，你装了多少？

只能说不实施一次一密肯定不安全。

5：为什么你说的这些安全什么的——我以前都不知道？

呵呵，要和你说我们有安全问题，你还用不用了？

再说我和很多人说起过这些问题，他们当年的态度都是——没关系，反正没人会对我的信息感兴趣的。我估计这次，还有不少人会说——没关系，反正我没有CSDN帐号/人人网上面的数据看到就看到咯。很多人第一次知道安全问题的严重性，都是在他们丢了钱之后。往往都是莫名其妙，钱怎么丢的？

6：那银行呢？

银行还是相对安全的，不过你要确认银行有以下几个功能。多次登录失败警告功能，五次登录失败自动锁定账户，要隔天由本人解锁，解锁后最好强制更换密码。可以关闭网银和电话银行，不拿着本人身份证经过24小时以上申请不能打开。密码丢失需要一周以上的时间才允许重设。大额取款通知用户功能，最好还有通知后五分钟内电话冻结转移。不过似乎最后一个功能银行的工作机制不允许这么做。

听上去很麻烦？通常来说，越麻烦的银行越安全。以上功能都有了，并且使用了，那么银行本身而言，还是比较安全的。

7：可是我要用网银？

如果你用U盾，不要用水货版的。有些U盾就是密码文件隐秘的放入的一个U盘，这种U盾我都可以复制出一堆来。用上这种U盾，最多满足你自己的心理安慰。正确使用U盾的方法，应该是在需要的时候才插上去，用完立刻拔出，插入时间越短越好。

因为很偶尔的情况下，入侵者刚好在看你的电脑。发现U盾后，可以指挥你完成登录的网银系统进行交易。但是网银交易必须以U盾为基础，拔掉他们就干不了坏事了。

从基础的思路上说，不要把鸡蛋放到同一个篮子里面总是对的，不要把鸡蛋最多的那个篮子暴露在风险之下更是对的。

8：这次的泄密事件会有什么具体影响？

一个很直观的解释——这个事情是会串的。对于某个人，你的密码（或者密码历史）万一是另一个网站的密码，那么攻击者立刻可以登录另一个网站。对于管理员而言则更加噩梦，万一某个网站的管理员在CSDN上有密码，这个网站马上就宣告被破，数据可以很快到手。如果这个网站又是个明文密码，还可以继续看看这个网站里面有没有值得使用的密码。如果运气很好（当然，这个相对攻击者而言），往往一次解密就是一堆网站的失守。

大量的用户验证信息在外面跑是什么概念？到处都是万能钥匙，并且有点技术的人由于拥有了密码字典，都掌握了制造万能钥匙的方式。

9：千万级的密码习惯和密码字典意味着什么？

原本，解密高手们对某个用户的密码假定是空白的，他们不知道你的密码是数字的还是英文的，大小写的还是混合的，是不是带有符号？密码泄露之后，等于形成了一部千万级别的密码词典，所有解密高手对密码都有了一个假定：什么密码大家最爱使用，里面是纯英文的概率是多少，纯数字的概率是多少，多少攻击成本可以得到多大回报。

并且，由于有彩虹表的存在。对于已经公布的所有密码而言，他们的hash值已经不再是秘密。md5，或者其他hash算法无法保证这些密码的安全。因此，凡是公布出来的密码，都不要再采用。

当然，词典本身也会改变我们对密码的认识：至少有人不会再使用“十大受欢迎密码”。可以说，这次最大的意义在于改变了普通用户对于攻击者的印象，还有对于密码的认识。

10：我还有什么是安全的？

安全是个笑话。

让用户来完成安全更是笑话中的笑话。当然，没有用户的安全意识，银行/网站再努力也没用。理论上，我们最好以侵犯信息安全去起诉泄密单位，而且应该索要巨额赔偿。但目前我们能做的只有用脚投票，放弃一些实在不安全的公司吧。凡是业界已经臭了名声的，最好都别用。

来源 >  中国网