我认为人人网没有明文存储用户密码

update 2012-01-07: 人人网大规模泄露用户密码之后的肮脏手段

CSDN等网站用户数据库泄漏事件

据solidot报道,CSDN、多玩游戏、7K7K小游戏、178.com、人人网、开心网、天涯社区、世纪佳缘、百合网、美空等网站的用户数据库被泄,我更关心的是CSDN和人人网。CSDN尤其令我忧心忡忡,因为我记得注册CSDN时它不让我使用弱密码,却忘记了自己当时使用了什么密码(对,有些网站注定是用来遗忘的)。在泄漏的CSDN数据库里找不到我常用的邮箱,这并没有让我松一口气,我不喜欢这种不确定的感觉。

人人网有没有明文存储用户密码

CSDN 无疑是明文存储了用户密码,在数据库里我们甚至能看到“我先去吃飯了,等會回來”、“我拉著線復習你給的溫柔”、“所謂典型局域網就是指由一台具備三層交換功”这样的中文密码。那么人人网呢?下面我们拿”人人网500W_16610.rar”做一个实验:

D:\Downloads\人人网500W_16610>grep -i -P "\s+null$" xh-2.txt
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
[email protected] NULL
...

咦,这么多的用户都爱用NULL作为密码?我更愿意相信,这些用户的密码hash值被泄漏后,攻击者做hash碰撞没能把原文碰撞出来,因而显示为NULL。所以我们再看一眼”人人网500W_16610.rar\xh-2.txt”,里面的密码多为弱密码,有的甚至就是纯数字。

那么泄漏出来的用户数据里,强密码用户占多大的比例呢?

D:\Downloads\人人网500W_16610>cat xh-2.txt|wc -l
4768600

D:\Downloads\人人网500W_16610>grep -i -P "\s+null$" xh-2.txt|wc -l
4001

4001/4768600,很不幸,只有0.84%的用户幸免于难。

于是我们有以下结论:
1. CSDN 确实是明文存储了用户密码,中文密码被泄就是明证;
2. 人人网可能泄漏了大量的用户名和密码hash,用”人人网500W_16610.rar\xh-2.txt”中的用户名密码登录,如果成功率越大,这个结论成立的可能性越大;
3. 人人网没有明文存储用户密码。

有没有必要使用强密码

再多说几句关于此次大批网站用户数据库泄漏的个人看法。我认为一个人的记忆是有限的,普通用户通常只会在少数网站上使用一两个强密码,剩下的都使用诸如111111之类的弱密码,这是可以理解并且应该提倡的。
按照我的习惯,网银支付宝和主邮箱使用强密码,QQ、Twitter等使用不那么强的密码,剩下人人网等只用111111这样的密码。弱密码不仅好记,而且丢了也不着急。
如果一个不重要的网站强行要求我使用强密码,除非拒绝在这个网站上注册,我多半会顺从地使用强密码。这个强密码有可能也是我的QQ、网银或支付宝的密码,一旦它泄漏,结果将是灾难性的。
我们再看一看泄漏用户数据库的网站,CSDN、多玩游戏、7K7K小游戏、178.com、人人网、开心网、天涯社区、世纪佳缘、百合网、美空,这些网站里除了CSDN,谁有资格要求用户使用强密码?要我说,呸,你这样的网站,也有配享受支付宝的待遇么。
那么是不是说中小网站就不必注重安全性呢?不是的,虽然他们的帐号不值钱,仍应注重安全,只是没必要要求用户一定要达到如何的密码强度。比如我的博客,我自知没资格要求用户使用什么样的密码,甚至没资格要求用户一定要记住曾经在我的博客上注册过,所以我在自己的博客上提供了oauth登录的链接,方便游客们使用其他网站如新浪微博等的帐号登录。

人人网大规模泄露用户密码后的肮脏手段

csdn创始人蒋涛指出,人人网在泄露大量的用户名密码之后,将泄露原因栽赃到csdn身上,并伪造假库转移公众视线。现在我们终于明白,为什么人人网泄露的数据库(人人网500W_16610.rar\xh-2.txt)与csdn数据库相似度低,而与伪造的新浪微博数据库(weibo.com_12160.dbh)相似度能达到92%。

本站文章除注明转载外,均为本站原创编译
转载请注明以下信息
文章转载自:鲁夫的爱 [ https://opengg.me/ ]
本文标题:我认为人人网没有明文存储用户密码
本文地址:https://opengg.me/671/renren-does-not-store-password-in-plain-text/

《我认为人人网没有明文存储用户密码》有4个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注