近日,著名IT技術論壇CSDN社區數據庫洩露,近600萬用戶的賬號密碼外洩。隨後又爆出“多玩遊戲網”800萬用戶資料被洩露,之後,著名的 “天涯社區”也不幸中招……如果說CSDN的“淪陷”影響的只是專業IT程序員群體,那麼像“天涯”如此大眾化網站的密碼洩露,幾乎和每個人休戚相關。網站到底是如何保存用戶密碼的?怎麼會被黑客破解?從技術到法律層面有沒有相關措施?
網站VS黑客:道高一尺魔高一丈
對於大部分網站而言,密碼的存儲和驗證過程基本如下:用戶輸入密碼,密碼被傳輸到服務器,服務器將密碼存儲起來(注册)或和已經存儲的密碼比對(登錄)。不論在哪個步驟,都有可能遭到黑客的攻擊和入侵。本次事件的數據庫洩露,就和第3個步驟相關,而直接原因,是這些網站的數據庫採用明文儲存密碼。
所謂明文,顧名思義就是直接將用戶輸入的密碼存到數據庫中,這種方式的危險性不言自明。為了防止黑客攻擊,目前大多數網站都採用加密方式保存用戶密碼。簡單來說,如果用戶的密碼是“123456”,那麼網站會通過特定的密碼算法,將其轉換為例如“ABCDEF”保存。當然,網站管理員會採用多種特殊的函數算法,更高級的網站會在此基礎上加一些只有管理員自己知道的隨機串,再多次加密,只為防止黑客入侵數據庫,反推出用戶密碼。
然而,網站和黑客之間,如同矛和盾,也是俗語說的“魔高一尺道高一丈”。無論網站採用多麼複雜的加密算法,理論上黑客都有破解的可能,當然這也反過來促使網站不斷採用更高級的加密算法。
明文密碼緣何使用多年
既然明文密碼如此危險,為何包括CSDN和天涯在內的大網站,仍大膽採用明文密碼? |