PCD專訪奇虎360安全專家

360安全專家

由CSDN用戶數(shù)據(jù)庫泄露事件開始，中國互聯(lián)網(wǎng)史上最大泄密事件的影響仍在進一步擴大。網(wǎng)站論壇已經(jīng)行動起來加強安全措施，不少網(wǎng)民也開始自檢“自救”。值此，本刊特別請到了奇虎360安全專家石曉虹先生，請他為我們剖析這一事件。

本刊記者：

石先生您好！想必您也一直在關(guān)注這次密碼泄漏的風波。那么，這次事件對于網(wǎng)站來說，最大的損失是什么？對于普通網(wǎng)友來說呢？

石曉虹：

您好！對于網(wǎng)站來說，數(shù)據(jù)庫泄露可能對用戶在網(wǎng)站上的安全使用造成風險，影響網(wǎng)站的聲譽和正常運營。

對于用戶來說，由于很多人習(xí)慣使用相同的注冊郵箱和密碼，一旦有一個賬號密碼泄露，可能波及所有重要賬號的安全，如網(wǎng)上支付、郵箱、聊天賬號等。

本刊記者：

網(wǎng)上傳說，CSDN密碼泄露的“罪魁禍首”是明文密碼？PCD的讀者很關(guān)心，為什么CSDN作為一個技術(shù)網(wǎng)站卻使用非常不安全的明文密碼？現(xiàn)在使用明文密碼存儲數(shù)據(jù)的網(wǎng)站多嗎？

石曉虹：

根據(jù)CSDN的聲明，CSDN社區(qū)早期曾經(jīng)使用過明文密碼。使用明文是因為和一個第三方chat程序整合驗證帶來的，后來的程序員始終未對此進行處理。在2009年4月，當時的程序員修改了密碼保存方式，改成了加密密碼。

明文存儲用戶密碼的網(wǎng)站比例很難統(tǒng)計，因為不同網(wǎng)站有不同的管理機制，只有接觸到網(wǎng)站數(shù)據(jù)庫的人才知道具體情況。按照慣例，網(wǎng)站應(yīng)該對用戶數(shù)據(jù)庫進行加密處理，把用戶數(shù)據(jù)庫泄露的風險降到最低。

本刊記者：

之前我們聊了對于網(wǎng)站、對于個人的影響，那么此次事件對整個安全行業(yè)會產(chǎn)生怎樣的影響呢？石曉虹：

“拖庫”是近幾年來地下黑客產(chǎn)業(yè)非常流行的攻擊方式，此前已有大批知名網(wǎng)站被“拖庫”的傳言，但一直沒有被公開證實。

此次事件證實了不少網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開提供下載。許多用戶下載后發(fā)現(xiàn)，自己的賬號、注冊郵箱、密碼全都暴露在網(wǎng)上，這種眼見為實的效應(yīng)快速引發(fā)了轟動。同時，這次事件也使黑客“拖庫”的危害開始公開化，客觀上能夠帶動網(wǎng)民密碼安全意識的提升。

本刊記者：

那么在今后，我們要如何避免類似事件的發(fā)生？作為普通用戶的我們應(yīng)該怎么做呢？您能給PCD的讀者一點建議嗎？

石曉虹：

第一，分級管理密碼。重要賬號（如常用郵箱、網(wǎng)上支付和聊天賬號等）單獨設(shè)置密碼?！?60安全衛(wèi)士》中已經(jīng)有“密碼安全鑒定器”功能，它可以檢測出密碼強度，如果強度不足則建議修改。第二，定期修改密碼。這可以有效避免網(wǎng)站數(shù)據(jù)庫泄露影響到自身賬號。第三，工作郵箱不用于注冊網(wǎng)絡(luò)賬號，以免密碼泄露后危及企業(yè)信息安全。本刊記者：

非常感謝您接受我們的采訪，為我們《計算機應(yīng)用文摘》的讀者解釋了疑惑！石曉虹：

感謝《計算機應(yīng)用文摘》和讀者們對網(wǎng)絡(luò)安全、對360的關(guān)注！也希望今后能有更多這樣的機會與大家交流！