Category Archives: IT特快

CSDN的密碼洩漏事件被爆出之後，在Twitter和Weibo上引起了廣泛的反響，很多人質疑國內網站的安全管理工作，竟然敢直接用明文保存密碼。 有一點常識的Web應用開發人員都應該知道直接在數據庫裡明文形式的密碼是相當不安全的。 但是為什麼還有那麼多人仍然這樣做呢？ 他們出於什麼目的呢？ 引人深思呀。 一個網站到底應該怎麼保存用戶的密碼才安全呢？ 又怎麼應該設計登錄流程呢？ 酷殼上有兩篇文章介紹的不錯：你會做Web上的用戶登錄功能嗎？ 和 Web開發中需要了解的東西。 青蛙除了大學的時候搞的那個神馬選課系統，基本就沒有做過Web應用，就從一個Web用戶的角度嘮叨幾句算了。 首先，是我們到底需要多少個密碼？ 只有一個顯然不行，如果使用這個密碼的網站有一個不靠譜，把用戶密碼給洩漏了（被黑了也好，被無良網站賣了也好，當然在天朝還有另外一種可能：被政府收繳），所有的網站都必須重設密碼。 那每個網站都設置一個密碼呢，現在是個網站都要登錄，誰能記得住那麼多密碼呀。 為了防止密碼忘掉，大體上有兩種思路： 密碼管理器這種方法比較簡單，實際就是保存一個密碼。 本因為瀏覽器就內置了記住密碼的功能，把用戶從繁重的記憶密碼的任務中解脫出來。 但是瀏覽器的密碼記憶方式功能單一，而且跟瀏覽器綁定，換一個瀏覽器就完蛋了。 還有系統自帶的密碼管理工具，例如KDE的KWallet之類的都會有這種問題，跟某個環境綁定，移動性不高。 青蛙目前也沒有好的實踐經驗，可以想到的方法就是加密KWallet之後放在Dropbox上，這樣多台電腦之間的密碼同步可以解決，但是仍然沒有解決跨平台的問題。 可能這個問題需要藉助移動設備來完成，例如Android上的密碼管理應用。 基礎密碼+網站特徵的組合規則密碼管理器的實際上是有安全隱患的，因為密碼都保存在電腦上，攻擊者可以獲取這些密碼文件然後嘗試暴力破解（密碼管理器仍然需要主密碼的）。 所以另外一種被廣泛推崇的方法就是一個基礎密碼加上針對特定網站的特徵字串組合。 這樣可以方便大腦直接記憶。 酷殼也有一篇文章介紹這種方法： 如何管理並設計你的口令，但是青蛙有一些其他的想法。 這篇文章裡提供的針對每個網站做變化的方法看似簡單實用，實際上有大問題：很容易被人看出基礎密碼和變化規則，因為攻擊者拿到密碼的時候一般都會知道這是個什麼網站，網址是神馬，然後跟密碼一對照，原來只是加上了前後綴，照此規則，其他網站的密碼就完全可以推測出來了。 所以這個變化規則應該有三個要求：容易計算（考慮下人類大腦的計算速度）、不太明顯（不容易被看穿把戲）、但是還要足夠複雜（增加被猜出來的難度）。 有了這三項要求，尋找一個規則就不太簡單了。 青蛙在這舉個例子： 首先根據頂級域名分類，獲得數字A，例如com是1，net是2，cn是3，其他的就是4，分類隨你數出站點字母個數，獲得數字B，例如gfrog.n​​et，域名主題有5個字母取站點的首位字母，獲得第三位、第四位密碼，例如gfrog.n​​et，首尾字母是g和g 這步可選，為了不讓獲得密碼明文的攻擊者一眼看出破綻，把第三步取到的字母做個變換，這個變換可以固定的，例如直接前移後移幾個字母，或者直接轉換成ASCII碼， 然後把上一步取到的兩位密碼插入到基礎密碼裡的第A個位置和第B個位置上，​​獲得的密碼就是這個網站的密碼了。 這個方法只是青蛙隨便想到的一個例子，不要拿去直接用哦，這種依賴算法的加密規則說出算法就不好玩了。 找一種容易使用，算出結果又不太明顯的算法來組合你的密碼吧。 另外在酷殼的如何管理並設計你的口令這篇文章裡也提到了密碼分級的問題，看來大家都意識到一套基礎密碼仍舊不安全，XD 密碼分級，青蛙覺得至少要分成5套，重要性依次遞減： 與錢有關：涉及真金白銀啊，一定要強密碼重要個人信息網站：gmail、SNS網站，MSN等等，這些網站往往都保存著重要的個人信息資料，所以保障帳號安全很重要。 國產郵件服務提供商、SNS等等，雖然個人信息同樣重要，但是國內網站往往都會屈服於某種無形的壓力，你懂得，所以單獨列出。 當然，在國內網站上提供個人信息同樣要注意，完全沒有安全性可言。 一般網站，一個普通密碼足矣懷疑沒有完善密碼保存流程的網站，對於這種網站最好的處理方法就是不用丫的，如果沒法避免，最低安全級的密碼處理就好，因為密碼難免會暴露在別人眼前。 哦，說了半天基礎密碼，生成基礎密碼的方式也有很多的，青蛙推荐一下apg這個包，各大發行版都提供，它可以生成指定長度的一組密碼，例如： $ apg Please enter some random data (only first 8 are significant) (eg. your old … Continue reading →