压铸模厂家
免费服务热线

Free service

hotline

010-00000000
压铸模厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

网站密码缘何不再机密

发布时间:2020-01-15 01:47:06 阅读: 来源:压铸模厂家

本报记者 章迪思

近日,著名IT技术论坛CSDN社区数据库泄露,近600万用户的账号密码外泄。随后又爆出“多玩游戏网”800万用户资料被泄露,之后,著名的 “天涯社区”也不幸中招……如果说CSDN的“沦陷”影响的只是专业IT程序员群体,那么像“天涯”如此大众化网站的密码泄露,几乎和每个人休戚相关。网站到底是如何保存用户密码的?怎么会被黑客破解?从技术到法律层面有没有相关措施?

网站VS黑客:道高一尺魔高一丈

对于大部分网站而言,密码的存储和验证过程基本如下:用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)或和已经存储的密码比对(登录)。不论在哪个步骤,都有可能遭到黑客的攻击和入侵。本次事件的数据库泄露,就和第3个步骤相关,而直接原因,是这些网站的数据库采用明文储存密码。

所谓明文,顾名思义就是直接将用户输入的密码存到数据库中,这种方式的危险性不言自明。为了防止黑客攻击,目前大多数网站都采用加密方式保存用户密码。简单来说,如果用户的密码是“123456”,那么网站会通过特定的密码算法,将其转换为例如“ABCDEF”保存。当然,网站管理员会采用多种特殊的函数算法,更高级的网站会在此基础上加一些只有管理员自己知道的随机串,再多次加密,只为防止黑客入侵数据库,反推出用户密码。

然而,网站和黑客之间,如同矛和盾,也是俗语说的“魔高一尺道高一丈”。无论网站采用多么复杂的加密算法,理论上黑客都有破解的可能,当然这也反过来促使网站不断采用更高级的加密算法。

明文密码缘何使用多年

既然明文密码如此危险,为何包括CSDN和天涯在内的大网站,仍大胆采用明文密码?

业内人士认为,这可能和网站早期的技术架构有关。等到互联网加速发展,网站用户直线上升,黑客的手段越来越高明,想再转换成加密算法,意味着要对海量数据库进行迁移和再操作,许多网站为了节约成本,一路将就,最终导致此次泄露。

也有用户开始质疑网站的“居心不良”。在著名IT资讯网站cnBeta上,有用户质疑“用密文加密密码,这是网站管理员基本的常识,现在连普通的电脑玩家都知道。但是CSDN以及天涯等站点,居然使用明文存储密码,那么他们是想干什么呢?”网友们担心,网站故意使用明文密码,可能背后有一个看不见的利益链条,网站可以随意使用用户账户,将个人信息转卖给商业机构。

网站不应简单“免责”

据称,CSDN网站已就此事向法院提起诉讼,如果查明黑客的真实身份,肇事者将被追究刑事责任。那么网站本身是否也会因“数据保存不妥”承担相关责任?

“在民法领域,我国对于个人数据、个人信息的保护几乎是空白,现在要追究网站的责任恐怕很难。”中国互联网协会法律专家胡钢律师分析,此类事件中,网站应承担两方面责任。一是违约责任,二是侵权责任。遗憾的是,不少网站在用户注册时,都会强迫用户同意一份免责条款,不同意就不让注册。在这份文本中,网站肯定不会把数据泄露这类事件纳入责任范围。如要追究侵权责任,那么用户必须证明网站没有采用业内普遍公认的技术方法保存数据,这样的取证也相当困难。

“试想,如果国外的facebook(脸谱)、twitter(推特)发生此类事件,政府部门和法律团队会在第一时间介入,进而造成公司股价波动,老板甚至可能引咎辞职。但在国内,似乎还没有对网站的约束机制。”胡钢呼吁,应加快个人信息保护的相关立法,同时行业协会也应该出台自律公约,鼓励网站采用更平等的,而非免责性的用户协议。

网上挂号平台

名医汇

挂号服务平台有哪些