论文部分内容阅读
QQ聊天、论坛发帖、网上购物、银行转账……这些都需要密码,甚至已成为许多人生活中的一部分。但是,设了密码也不代表安全。无论是网站还是用户,都得想办法提高黑客获取数据的成本才行。
“80%以上的互联网公司都存在着漏洞。”说这句话的,正是深陷“泄密”泥潭的中国软件开发联盟(CSDN)董事长蒋涛。在1月11日召开的媒体见面会上,他透露:“平时我们注册的网站账户、密码,其中有80%可以被破解。”
去年年底,我国遭遇了史上最大规模的互联网用户信息泄露事件,揭开事件序幕的,就是CSDN的600万用户信息泄露。随后,天涯论坛被传4000多万用户密码被盗,当当网1200万全字段用户资料遭到泄露,支付宝也被爆出用户泄露总量达1500~2500万……而猫扑、多玩、人人等多个知名互联网企业均难逃其难,波及互联网用户多达过亿人次。
数据库被“窃”是主因
黑客横扫互联网,用户更改密码忙。“你的密码被盗了吗”一时成为网络流行语,“今年,你改密码了吗?”也成为不少人的QQ签名。那么,密码为何能轻易被盗?我们输入的密码,又被网站“放”在何地?
资深网络安全顾问张百川告诉记者,用户输入密码后,通常都会要求你“提交”,而这个步骤,其实就把密码传到了网站后台的服务器上,并保存到数据库里。网站有专门的人员来管理数据库。因此,黑客要窃取用户密码,最直接的就是想办法入侵数据库,而数据库管理员的任务,就是设置各种防护措施,防止黑客入侵。
此次“泄密门”,就是多家网站的数据库被黑客攻陷,大量用户的注册信息,包括邮箱、用户名、密码被盗取,并被传到互联网上。“所以,有一个经验丰富的数据库管理员,对网站来说是非常重要的,如果管理员不重视业务,很容易被黑客钻空子。”张百川说。
另外,数据库并非一定是靠技术手段偷走的,网站内部也许出了“内鬼”,直接将数据库拷贝走。前不久,陕西某电信企业1400万手机用户资料被泄露,就是员工利用工作之便进入数据库,盗取了信息。而为牟取暴利,一大学职员伙同网络公司“内鬼”擅自修改游戏数据库,然后大肆复制游戏装备在网上出售,从中获利百万元。
部分网站为省事将风险转嫁用户
数据库被攻击或被偷走的风险无法完全避免,对此,网站并不是就没有办法应对了。
在此次事件中,CSDN、天涯以及许多网站泄露的数据库,保存的都是明文密码。“所谓明文密码,就是你输入的是什么密码,数据库保存的就是什么密码。”张百川说,打个比方,你输入的密码是123456,那么数据库保存的就是123456。“黑客一旦成功入侵数据库,用户密码一览无余,毫无安全性可言。”
正因为明文密码的安全系数低,据业内人士透露,从2003年开始,一些网站陆续改成了加密密码。张百川告诉记者,现在用的较多的是MD5加密。简单来说,就是无论你输入的是什么密码,比如123或456,最后在数据库里显示的都是一个16位或32位的字符串。在这种情况下,连管理员也不知道原来的密码是什么,即使黑客打开了数据库,要想破解密码也得费一番工夫。
据媒体报道,一直到2009年4月,CSDN的程序员才改成加密密码,但部分老的明文密码没有被清理。
在张百川看来,网站不加强安全性,除了意识不强、资金投入的问题以外,由于网站升级密码的保存方式时也存在风险,一些网站为了避免给自己带来麻烦不做修改,结果把风险转嫁到用户身上。
“我自己做网站的时候,也遇到过这样的情况。MD5加密最开始的时候用的是16位字符,后来升级到32位字符时,不知是转换程序还是其他的问题,结果登录不进去,必须人工储存密码,这个量很大。”张百川说。
提高黑客获取数据成本是关键
网站即使使用了加密密码,也并不意味着万事大吉。网上有很多专门破解MD5加密的网站,业内人士透露,破解一个8位纯数字的密码不超过10分钟,即使密码是10位数以下“数字+字母+特殊字符”的组合,一天的时间就能够破解出。
张百川说,对于用户来说,虽然没有绝对安全的密码,但是设置一个相对复杂的密码,安全性就较高。“黑客破解密码也是要投入的,包括资金、技术和时间的投入。越复杂的密码,投入也越多,如果投入过大,不能获取到足够的资源和利益,黑客自然会放弃。”
此次“泄密门”无论对网站、政府还是用户而言,无疑敲响了警钟。尽管目前已有两名“CSDN泄密门”的涉案黑客被抓,但仍有大量我们看不见的黑客潜伏于各个网站,网站的安全状况不容乐观。
国家计算机网络入侵防范中心主任冯登国认为,对于政府而言,要赶快考虑出台一部真正的信息安全法。否则碰到相关网络安全的案件时,想要进行制裁都没有法律依据。
“黑客让我们防不胜防,他们也在不断改进技术,新的风险和隐患始终存在。”上海理工大学光电信息与计算机工程学院教授陈家琪说,对于网站而言,一定要加强防御黑客对网络安全侵蚀的意识。世界上没有绝对的安全系统,不要以为选择一款合适的操作系统,每次借助自动更新就万事大吉了,要有专门的人员对网络安全进行管理。在美国等一些发达国家,他们会培训专业人才来保护网络。
蒋涛对媒体表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”
“80%以上的互联网公司都存在着漏洞。”说这句话的,正是深陷“泄密”泥潭的中国软件开发联盟(CSDN)董事长蒋涛。在1月11日召开的媒体见面会上,他透露:“平时我们注册的网站账户、密码,其中有80%可以被破解。”
去年年底,我国遭遇了史上最大规模的互联网用户信息泄露事件,揭开事件序幕的,就是CSDN的600万用户信息泄露。随后,天涯论坛被传4000多万用户密码被盗,当当网1200万全字段用户资料遭到泄露,支付宝也被爆出用户泄露总量达1500~2500万……而猫扑、多玩、人人等多个知名互联网企业均难逃其难,波及互联网用户多达过亿人次。
数据库被“窃”是主因
黑客横扫互联网,用户更改密码忙。“你的密码被盗了吗”一时成为网络流行语,“今年,你改密码了吗?”也成为不少人的QQ签名。那么,密码为何能轻易被盗?我们输入的密码,又被网站“放”在何地?
资深网络安全顾问张百川告诉记者,用户输入密码后,通常都会要求你“提交”,而这个步骤,其实就把密码传到了网站后台的服务器上,并保存到数据库里。网站有专门的人员来管理数据库。因此,黑客要窃取用户密码,最直接的就是想办法入侵数据库,而数据库管理员的任务,就是设置各种防护措施,防止黑客入侵。
此次“泄密门”,就是多家网站的数据库被黑客攻陷,大量用户的注册信息,包括邮箱、用户名、密码被盗取,并被传到互联网上。“所以,有一个经验丰富的数据库管理员,对网站来说是非常重要的,如果管理员不重视业务,很容易被黑客钻空子。”张百川说。
另外,数据库并非一定是靠技术手段偷走的,网站内部也许出了“内鬼”,直接将数据库拷贝走。前不久,陕西某电信企业1400万手机用户资料被泄露,就是员工利用工作之便进入数据库,盗取了信息。而为牟取暴利,一大学职员伙同网络公司“内鬼”擅自修改游戏数据库,然后大肆复制游戏装备在网上出售,从中获利百万元。
部分网站为省事将风险转嫁用户
数据库被攻击或被偷走的风险无法完全避免,对此,网站并不是就没有办法应对了。
在此次事件中,CSDN、天涯以及许多网站泄露的数据库,保存的都是明文密码。“所谓明文密码,就是你输入的是什么密码,数据库保存的就是什么密码。”张百川说,打个比方,你输入的密码是123456,那么数据库保存的就是123456。“黑客一旦成功入侵数据库,用户密码一览无余,毫无安全性可言。”
正因为明文密码的安全系数低,据业内人士透露,从2003年开始,一些网站陆续改成了加密密码。张百川告诉记者,现在用的较多的是MD5加密。简单来说,就是无论你输入的是什么密码,比如123或456,最后在数据库里显示的都是一个16位或32位的字符串。在这种情况下,连管理员也不知道原来的密码是什么,即使黑客打开了数据库,要想破解密码也得费一番工夫。
据媒体报道,一直到2009年4月,CSDN的程序员才改成加密密码,但部分老的明文密码没有被清理。
在张百川看来,网站不加强安全性,除了意识不强、资金投入的问题以外,由于网站升级密码的保存方式时也存在风险,一些网站为了避免给自己带来麻烦不做修改,结果把风险转嫁到用户身上。
“我自己做网站的时候,也遇到过这样的情况。MD5加密最开始的时候用的是16位字符,后来升级到32位字符时,不知是转换程序还是其他的问题,结果登录不进去,必须人工储存密码,这个量很大。”张百川说。
提高黑客获取数据成本是关键
网站即使使用了加密密码,也并不意味着万事大吉。网上有很多专门破解MD5加密的网站,业内人士透露,破解一个8位纯数字的密码不超过10分钟,即使密码是10位数以下“数字+字母+特殊字符”的组合,一天的时间就能够破解出。
张百川说,对于用户来说,虽然没有绝对安全的密码,但是设置一个相对复杂的密码,安全性就较高。“黑客破解密码也是要投入的,包括资金、技术和时间的投入。越复杂的密码,投入也越多,如果投入过大,不能获取到足够的资源和利益,黑客自然会放弃。”
此次“泄密门”无论对网站、政府还是用户而言,无疑敲响了警钟。尽管目前已有两名“CSDN泄密门”的涉案黑客被抓,但仍有大量我们看不见的黑客潜伏于各个网站,网站的安全状况不容乐观。
国家计算机网络入侵防范中心主任冯登国认为,对于政府而言,要赶快考虑出台一部真正的信息安全法。否则碰到相关网络安全的案件时,想要进行制裁都没有法律依据。
“黑客让我们防不胜防,他们也在不断改进技术,新的风险和隐患始终存在。”上海理工大学光电信息与计算机工程学院教授陈家琪说,对于网站而言,一定要加强防御黑客对网络安全侵蚀的意识。世界上没有绝对的安全系统,不要以为选择一款合适的操作系统,每次借助自动更新就万事大吉了,要有专门的人员对网络安全进行管理。在美国等一些发达国家,他们会培训专业人才来保护网络。
蒋涛对媒体表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”