CSDN爆库内幕：密码为什么明文存放？

     <div id="news_body">     <p style="text-align:center;"><a href="/misc/goto?guid=4958319948375359038" rel="attachment wp-att-71024"><img title="fbi-card2" alt="CSDN爆库内幕：密码为什么明文存放？" src="https://simg.open-open.com/show/07afce02056f5456d35170621ec7d04f.jpg" width="584" height="360" /></a></p>     <p>        近期频频暴露<a href="/misc/goto?guid=4958319949236885941">国内大网站明文保存用户密码的问题</a>，也许你已经重置了大部分常用密码，但是否从此就安全了呢？溯源究底，网友 shell 总结了一以下几点<a href="/misc/goto?guid=4958319950025811994" rel="external nofollow" target="_blank">密码需要明文存放</a>的原因：</p>     <blockquote>      <p>1. 不用明文密码没法应付检查。大家知道互联网审查，有时往往会一个电话过来，要 XX 用户的密码。如果你没法给出，上头就认为你不配合，事情各种难搞。作为审查机构的老板，当然没必要知道明文密码的危害。他们只知道，我要密码，为什么不 行。所以，悲崔的程序员们就往往会得到一条死命令，保存明文密码。</p>      <p>2. 压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人，从石头的缝隙中顽强的生长出来。这不是坏事，坏事的是这些人往往会在一些基础问题上出 现奇怪的毛病。例如有些程序员，写程序很快，但是居然从来不知道密码明文存放会导致什么问题。更神奇的是，这些人中，有一家银行…</p>      <p>3. 自信暴棚的混帐。有些人的自信总比别人强，而且强在莫名其妙的地方。例如：我的服务器肯定是没问题的，所以我的密码一定要明文存放。如果不，就是质疑我的技术。</p>      <p>实话说，这种人真是少数中的少数。</p>      <p>4. 遗留系统。很多系统设计的时候因为某个其他理由，使用了明文密码。等后来这个理由不存在了，密码系统升级成了一个困难。因为密码系统太重要了，所以在没有 太大利益的情况下，总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢？用户安全问题在发现前不是一个问题——好比这次的 CSDN，不是被暴出来的话就根本不会被当作一个问题。系统的管理者，每个人都没有足够的动力去修改系统。</p>      <p>5. 世界的阴暗角落。有的时候，程序员/老板明文存放的理由，是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例，你注册网站，就提供很多免费服务，网 站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码，大家才突然发现，这家网站其实根本没有在美国注册，而 是一个听都没听说过的国家。</p>      <p>而且很多网站提供从其他网站导入之类的功能，更加的危险。以前经常爆出 推ter 密码被窃取，主要就是因为 OAuth 开放以前，推ter 上的第三方应用需要提供原生密码，导致很多小应用的目的其实就是收集密码…</p>      <p>6. 为了给用户提供方便。这个理由和上一个很类似，不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做 XX 事，为什么我不能 blahblah。好吧，为了让你能，我们就必须保存明文密码。</p>     </blockquote>     <p>        看来，此次 CSDN 爆库事件需要引发我们的更多思考，关于网站明文保存密码，你是否还有其他看法么？</p>     <p>        配图来源：<a href="/misc/goto?guid=4958319950822337041" rel="external nofollow" target="_blank">topsecretwriters</a></p>     <div id="come_from">            来自:      <a id="link_source2" href="/misc/goto?guid=4958319951615547770" target="_blank">www.36kr.com</a>     </div>    </div>