中财网彻底卸载oracle11g:谁来保障我们的账号安全?
来源:百度文库 编辑:中财网 时间:2024/04/29 04:51:51
QQ聊天、论坛发帖、网上购物、银行转账……这些都需要密码,甚至已成为许多人生活的一部分。但是,设了密码也不代表安全。无论是网站还是用户,都得想办法提高黑客获取数据成本才行。
“80%以上的互联网公司都存在着漏洞。”说这句话的,正是深陷“泄密”泥潭的中国软件开发联盟(CSDN)董事长蒋涛。在1月11日召开的媒体见面会上,他透露:“平时我们注册的网站账户、密码,其中有80%可以被破解。”
去年年底,我国遭遇了史上最大规模的互联网用户信息泄露事件,揭开事件序幕的,就是CSDN的600万用户信息泄露。随后,天涯论坛被传4000多万用户密码被盗,当当网1200万全字段用户资料遭到泄露,支付宝也被爆出用户泄漏总量达1500~2500万……而猫扑、多玩、人人等多个知名互联网企业均难逃其难,波及互联网用户多达过亿人次。
■数据库被“窃”是主因
黑客横扫互联网,用户更改密码忙。“你的密码被盗了吗”一时成为网络流行语,“今年,你改密码了吗?”也成为不少人的QQ签名。那么,密码为何能轻易被盗?我们输入的密码,又被网站“放”在何地?
资深网络安全顾问张百川告诉记者,用户输入密码后,通常都会要求你“提交”,而这个步骤,其实就把密码传到了网站后台的服务器上,并保存到数据库里。网站有专门的人员来管理数据库。因此,黑客要窃取用户密码,最直接的就是想办法入侵数据库,而数据库管理员的任务,就是设置各种防护措施,防止黑客入侵。
此次“泄密门”,就是多家网站的数据库被黑客攻陷,大量用户的注册信息,包括邮箱、用户名、密码被盗取,并被传播到互联网上。“所以,有一个经验丰富的数据库管理员,对网站来说是非常重要的,如果管理员不重视业务,很容易被黑客钻空子。”张百川说。
另外,数据库并非一定是靠技术手段偷走的,网站内部也许出了“内鬼”,直接将数据库拷贝走。前不久,陕西某电信企业1400万手机用户资料被泄露,就是员工利用工作之便进入数据库,盗取了信息。而为牟取暴利,一大学职员伙同网络公司“内鬼”擅自修改游戏数据库,然后大肆复制游戏装备在网上出售,从中获利百万元。
■部分网站为省事将风险转嫁用户
数据库被攻击或被偷走的风险无法完全避免,对此,网站并不是就没有办法应对了。
在此次事件中,CSDN、天涯以及许多网站泄露的数据库,保存的都是明文密码。“所谓明文密码,就是你输入的是什么密码,数据库保存的就是什么密码。”张百川说,打个比方,你输入的密码是123456,那么数据库保存的就是123456。“黑客一旦成功入侵数据库,用户密码一览无余,毫无安全性可言。”
正因为明文密码的安全系数低,据业内人士透露,从2003年开始,一些网站陆续改成了加密密码。张百川告诉记者,现在用的较多是MD5加密,简单来说,就是无论你输入的是什么密码,比如123或456,最后在数据库里显示的都是一个16位或32位的字符串。在这种情况下,连管理员也不知道原来的密码是什么,即使黑客打开了数据库,要想破解密码也要费一番功夫。
据媒体报道,一直到2009年4月,CSDN的程序员才改成加密密码,但部分老的明文密码没有被清理。
在张百川看来,网站不加强安全性,除了意识不强、资金投入的问题以外,由于网站升级密码的保存方式也存在风险,一些网站为了避免给自己带来麻烦不做修改,结果把风险转嫁到用户身上。
“我自己做网站的时候,也遇到过这样的情况。MD5加密最开始的时候用的是16位字符,后来升级32位字符时,不知是转换程序还是其他问题,结果登录不进去,必须人工储存密码,这个量很大。”张百川说。
■提高黑客获取数据成本是关键
网站即使使用了加密密码,也并不意味着万事大吉。网上有很多专门破解MD5加密的网站,业内人士透露,破解一个8位纯数字的密码不超过10分钟,即使密码是10位数以下“数字+字母+特殊字符”的组合,一天的时间就能够破解出来。
张百川说,对于用户来说,虽然没有绝对安全的密码,但是设置一个相对复杂的密码,安全性就越高。“黑客破解密码也是要投入的,包括资金、技术和时间的投入。越复杂的密码,投入得也越多,如果投入过大,不能获取到足够的资源和利益,黑客自然也会放弃。”
此次“泄密门”无论对网站、政府还是用户而言,无疑敲响了警钟。尽管目前已有两名“CSDN泄密门”的涉案黑客被抓,但仍有大量我们看不见的黑客潜伏于各个网站,网站的安全状况不容乐观。
国家计算机网络入侵防范中心主任冯登国认为,对于政府而言,要赶快考虑出台一部真正的信息安全法出台。否则碰到相关网络安全的案件时,想要进行制裁都没有法律依据。
“黑客让我们防不胜防,他们也在不断改进技术,新的风险和隐患始终存在。”上海理工大学光电信息与计算机工程学院教授陈家琪说,对于网站而言,一定要加强防御黑客对网络安全侵蚀的意识。世界上没有绝对的安全系统,不要以为选择一款合适的操作系统,每次借助自动更新就万事大吉了,要有专门的人员对网络安全进行管理。在美国等一些发达国家,他们会培训专业人才来保护网络。
蒋涛对媒体表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”
■文/吴洣麓
原载2012年1月16日《北京青年报》C4版
“80%以上的互联网公司都存在着漏洞。”说这句话的,正是深陷“泄密”泥潭的中国软件开发联盟(CSDN)董事长蒋涛。在1月11日召开的媒体见面会上,他透露:“平时我们注册的网站账户、密码,其中有80%可以被破解。”
去年年底,我国遭遇了史上最大规模的互联网用户信息泄露事件,揭开事件序幕的,就是CSDN的600万用户信息泄露。随后,天涯论坛被传4000多万用户密码被盗,当当网1200万全字段用户资料遭到泄露,支付宝也被爆出用户泄漏总量达1500~2500万……而猫扑、多玩、人人等多个知名互联网企业均难逃其难,波及互联网用户多达过亿人次。
■数据库被“窃”是主因
黑客横扫互联网,用户更改密码忙。“你的密码被盗了吗”一时成为网络流行语,“今年,你改密码了吗?”也成为不少人的QQ签名。那么,密码为何能轻易被盗?我们输入的密码,又被网站“放”在何地?
资深网络安全顾问张百川告诉记者,用户输入密码后,通常都会要求你“提交”,而这个步骤,其实就把密码传到了网站后台的服务器上,并保存到数据库里。网站有专门的人员来管理数据库。因此,黑客要窃取用户密码,最直接的就是想办法入侵数据库,而数据库管理员的任务,就是设置各种防护措施,防止黑客入侵。
此次“泄密门”,就是多家网站的数据库被黑客攻陷,大量用户的注册信息,包括邮箱、用户名、密码被盗取,并被传播到互联网上。“所以,有一个经验丰富的数据库管理员,对网站来说是非常重要的,如果管理员不重视业务,很容易被黑客钻空子。”张百川说。
另外,数据库并非一定是靠技术手段偷走的,网站内部也许出了“内鬼”,直接将数据库拷贝走。前不久,陕西某电信企业1400万手机用户资料被泄露,就是员工利用工作之便进入数据库,盗取了信息。而为牟取暴利,一大学职员伙同网络公司“内鬼”擅自修改游戏数据库,然后大肆复制游戏装备在网上出售,从中获利百万元。
■部分网站为省事将风险转嫁用户
数据库被攻击或被偷走的风险无法完全避免,对此,网站并不是就没有办法应对了。
在此次事件中,CSDN、天涯以及许多网站泄露的数据库,保存的都是明文密码。“所谓明文密码,就是你输入的是什么密码,数据库保存的就是什么密码。”张百川说,打个比方,你输入的密码是123456,那么数据库保存的就是123456。“黑客一旦成功入侵数据库,用户密码一览无余,毫无安全性可言。”
正因为明文密码的安全系数低,据业内人士透露,从2003年开始,一些网站陆续改成了加密密码。张百川告诉记者,现在用的较多是MD5加密,简单来说,就是无论你输入的是什么密码,比如123或456,最后在数据库里显示的都是一个16位或32位的字符串。在这种情况下,连管理员也不知道原来的密码是什么,即使黑客打开了数据库,要想破解密码也要费一番功夫。
据媒体报道,一直到2009年4月,CSDN的程序员才改成加密密码,但部分老的明文密码没有被清理。
在张百川看来,网站不加强安全性,除了意识不强、资金投入的问题以外,由于网站升级密码的保存方式也存在风险,一些网站为了避免给自己带来麻烦不做修改,结果把风险转嫁到用户身上。
“我自己做网站的时候,也遇到过这样的情况。MD5加密最开始的时候用的是16位字符,后来升级32位字符时,不知是转换程序还是其他问题,结果登录不进去,必须人工储存密码,这个量很大。”张百川说。
■提高黑客获取数据成本是关键
网站即使使用了加密密码,也并不意味着万事大吉。网上有很多专门破解MD5加密的网站,业内人士透露,破解一个8位纯数字的密码不超过10分钟,即使密码是10位数以下“数字+字母+特殊字符”的组合,一天的时间就能够破解出来。
张百川说,对于用户来说,虽然没有绝对安全的密码,但是设置一个相对复杂的密码,安全性就越高。“黑客破解密码也是要投入的,包括资金、技术和时间的投入。越复杂的密码,投入得也越多,如果投入过大,不能获取到足够的资源和利益,黑客自然也会放弃。”
此次“泄密门”无论对网站、政府还是用户而言,无疑敲响了警钟。尽管目前已有两名“CSDN泄密门”的涉案黑客被抓,但仍有大量我们看不见的黑客潜伏于各个网站,网站的安全状况不容乐观。
国家计算机网络入侵防范中心主任冯登国认为,对于政府而言,要赶快考虑出台一部真正的信息安全法出台。否则碰到相关网络安全的案件时,想要进行制裁都没有法律依据。
“黑客让我们防不胜防,他们也在不断改进技术,新的风险和隐患始终存在。”上海理工大学光电信息与计算机工程学院教授陈家琪说,对于网站而言,一定要加强防御黑客对网络安全侵蚀的意识。世界上没有绝对的安全系统,不要以为选择一款合适的操作系统,每次借助自动更新就万事大吉了,要有专门的人员对网络安全进行管理。在美国等一些发达国家,他们会培训专业人才来保护网络。
蒋涛对媒体表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”
■文/吴洣麓
原载2012年1月16日《北京青年报》C4版
我们以后的生活谁来保障?
地方的治安应该如何去抓,谁来保障地方百姓的生命财产安全
人人都遵守交通规则,我们的安全和事故就有了保障,怎么改
家庭的ADSL用户需要什么样的保护措施,来保障上网安全?
计算机制定保障信息安全的措施
小学生的安全有保障吗?
无偿献血的安全有没有保障呢
我们的婚姻有法律保障吗?
如何能最好的保障自己上网的安全??
‘网站的信息安全保障措施’指的是什么?
花二千多选用的隆鼻材料安全有保障吗
家庭电路有什么简单的接法要保障安全
网上分期付款如何保障消费者的安全呢?
汽车运输是否要保障客户的行李安全
黄河流域环境安全的基础保障设施是什么?
黄河流域环境安全的基础保障设施是什么?
4()不属于无线局域网的安全保障技术。
有专门快递户口簿的吗?安全保障吗?
遇到这样的事谁能来保障我们的权益?
婚姻法. 民法通则 刑法 民事诉讼法保障我们权利之间的关系
请问我们应该如何保障自己的权利?
如何保障学生在校安全?
如何保障Q币安全?
怎样知道自己的宽带账号是否安全