最近两大著名网站，CSDN 和 天涯 的用户信息泄露事件炒的沸沸扬扬。相关网站都在提醒用户更改密码，可这真的有用吗？

很悲观的告诉大家，改密码基本没用！

先不要说我危言耸听，且听我慢慢道来。

这次泄密事件，一个特点是网站数据库是用明文保存的用户密码，也就是数据库中直接存储的用户密码。这个危害是显而易见的，所以各个网站都说“我们现在都是用密文”的形式存储用户密码了，什么意思呢？就是说，现在数据库中存不再是用户的原始密码了，而是经过加密后的信息。比如，通过MD5加密之类的。

听上去似乎更安全了。可是如果仔细分析一下的话，心一下就会凉的。

1. 相关网站并没有在公告中说明，用户信息是如何泄露的，是否找到了网站的漏洞。那么，最新的信息还是很有可能在继续泄露中。

2.对用户密码进行密文存储，也无法保证用户密码信息的安全。

2.1 现有的密码加密技术，多是使用Hash函数，对原密码做个映射。由于Hash函数的特性，一定会存在碰撞的情况，也就是两个不同的用户密码经过Hash函数映射后，得到的结果却是相同的。
2.2 为了，尽量减少碰撞，Hash函数的设计就变的很困难，因此这些网站大多是不会自己设计Hash函数的，而是使用一些“著名的”被广泛使用的Hash函数。

基于以上两条，就有两种途径可以对加密的用户密码进行破解
1. 根据Hash的碰撞特性，不一定需要用户的原始密码，只要构造一个能产生Hash值相同的密码串就行了。
2. 由于是使用的共有hash函数，那么，完全可以通过构造 “密文--明文” 字典的方式，把一些常用的密码串的加密信息提前算出来，然后通过查表的方式获得用户的原始密码。

现在你有些同样我的标题了吧。那怎么办呢？

1. 治本的方法，相关网站仔细调查自己网站的漏洞，提高自己的安全级别。只是这需要很多资金的投入，现在基本看不到希望；
2. 用户尽量使用更长（10个字符以上），更复杂（大小写字母，数字，特殊符号），没有含义（什么生日呀，名字呀，他们的组合呀，都是不行的），做为自己的密码。并且不同网站使用不同的密码，且网站间密码没有关联性。


转载本文请联系原作者获取授权，同时请注明本文来自谢龙科学网博客。
链接地址：https://wap.sciencenet.cn/blog-483379-522869.html

上一篇：互联网上的正义联盟
下一篇：郁闷