- 政策解讀
- 經濟發展
- 社會發展
- 減貧救災
- 法治中國
- 天下人物
- 發展報告
- 項目中心
出事網站儲存密碼方式很原始
“我的信息誰做主?”眾網友在質疑的同時也心存疑問,作為國內知名的網站,其數據庫怎會如此脆弱。
濟南市公安局歷城分局網警大隊中隊長李玉森與電腦打交道30余年,擁有豐富的網絡安全知識。他介紹,密碼的存儲和驗證過程簡單來說就是:用戶輸入密碼,密碼被傳輸到服務器,服務器將密碼存儲起來(注冊)或和已經存儲的密碼比對(登錄)。
“三個步驟都有可能遭到黑客的攻擊。此次事件則是在第三個步驟中數據庫被攻擊。”李玉森說,網站數據庫泄露多是因網站程序或服務器系統存在漏洞,被黑客入侵造成,安全術語為“拖庫”。
“現在多數網站的數據庫使用的是加密密碼,黑客進入也很難破譯。但不可思議的是,CSDN的數據庫使用的竟然是明文儲存密碼。”李玉森說,明文密碼就是直接將用戶的密碼存到數據庫中,此種方式的安全性不言自明。
國內一家網站技術總監藍葛亮說,國內知名網站的防火墻等技術都比較先進,可數據庫采用明文密碼,只要接觸數據庫的人就能夠輕易獲知,管理上的漏洞可見一斑。
雖然CSDN稱,此次泄露的數據庫是2009年前使用的,2009年后網站已改用加密密碼,“但這更說明網站管理上可能存在漏洞。”網絡安全專家說。
密碼應分類設置,半年換一次
中國互聯網絡信息中心此前發布報告顯示,今年上半年,遭遇病毒或木馬攻擊的網民有2.17億,占網民總數的44.7%;有賬號或密碼被盜經歷的網民達1.21億;另有8%的網民曾遇到過消費欺詐。
很多網友都用一個用戶名和密碼通行各網站,一旦一個賬號密碼泄露,就可能波及到所有重要賬號的安全。“網友所遭受的損失也可能被幾倍的放大。”曾經查辦多起網絡案件的李玉森對此非常擔憂。 “比如不法分子在網絡游戲中處理用戶的虛擬財產、盜竊Q幣等。”李玉森更擔心的是,不法分子竊取用戶的聊天賬號進行網絡詐騙。他們近期已接到多起類似的案件。
前些天,濟南的王女士與遠在貴州上學的兒子QQ聊天。兒子提到一個很好的同學突患重病,急需錢進行治療。王女士沒多問,給其匯過去7萬元錢。后來她給兒子打電話,卻被告知根本沒這回事。“原來王女士兒子的QQ號被人盜走了。”李玉森說,此類網絡詐騙案件偵破難度非常大。
“網站自身需要設置能有效防黑客攻擊的技術架構,完善內部管理,網友則要裝殺毒軟件和防火墻,設置高強度的密碼。”藍葛亮認為,多層面加強互聯網安全迫在眉睫。
藍葛亮建議網友對密碼進行分類設置,分成核心密碼、一般密碼和不重要密碼。“例如銀行、郵箱、QQ等核心密碼至少采用16位長度的密碼,而且必須是數字、大小寫字母和特殊符號的組合,并且與自己的任何信息都無關,半年換一次。”