CSDN爆库内幕:密码为什么明文存放?

jopen 9年前
     <div id="news_body">     <p style="text-align:center;"><a href="/misc/goto?guid=4958319948375359038" rel="attachment wp-att-71024"><img title="fbi-card2" alt="CSDN爆库内幕:密码为什么明文存放?" src="https://simg.open-open.com/show/07afce02056f5456d35170621ec7d04f.jpg" width="584" height="360" /></a></p>     <p>        近期频频暴露<a href="/misc/goto?guid=4958319949236885941">国内大网站明文保存用户密码的问题</a>,也许你已经重置了大部分常用密码,但是否从此就安全了呢?溯源究底,网友 shell 总结了一以下几点<a href="/misc/goto?guid=4958319950025811994" rel="external nofollow" target="_blank">密码需要明文存放</a>的原因:</p>     <blockquote>      <p>1. 不用明文密码没法应付检查。大家知道互联网审查,有时往往会一个电话过来,要 XX 用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不 行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。</p>      <p>2. 压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出 现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。更神奇的是,这些人中,有一家银行…</p>      <p>3. 自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。</p>      <p>实话说,这种人真是少数中的少数。</p>      <p>4. 遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有 太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的 CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。</p>      <p>5. 世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网 站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而 是一个听都没听说过的国家。</p>      <p>而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出 推ter 密码被窃取,主要就是因为 OAuth 开放以前,推ter 上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码…</p>      <p>6. 为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做 XX 事,为什么我不能 blahblah。好吧,为了让你能,我们就必须保存明文密码。</p>     </blockquote>     <p>        看来,此次 CSDN 爆库事件需要引发我们的更多思考,关于网站明文保存密码,你是否还有其他看法么?</p>     <p>        配图来源:<a href="/misc/goto?guid=4958319950822337041" rel="external nofollow" target="_blank">topsecretwriters</a></p>     <div id="come_from">            来自:      <a id="link_source2" href="/misc/goto?guid=4958319951615547770" target="_blank">www.36kr.com</a>     </div>    </div>