360安全專家
由CSDN用戶數(shù)據(jù)庫泄露事件開始,中國互聯(lián)網(wǎng)史上最大泄密事件的影響仍在進一步擴大。網(wǎng)站論壇已經(jīng)行動起來加強安全措施,不少網(wǎng)民也開始自檢“自救”。值此,本刊特別請到了奇虎360安全專家石曉虹先生,請他為我們剖析這一事件。
本刊記者:
石先生您好!想必您也一直在關(guān)注這次密碼泄漏的風波。那么,這次事件對于網(wǎng)站來說,最大的損失是什么?對于普通網(wǎng)友來說呢?
石曉虹:
您好!對于網(wǎng)站來說,數(shù)據(jù)庫泄露可能對用戶在網(wǎng)站上的安全使用造成風險,影響網(wǎng)站的聲譽和正常運營。
對于用戶來說,由于很多人習(xí)慣使用相同的注冊郵箱和密碼,一旦有一個賬號密碼泄露,可能波及所有重要賬號的安全,如網(wǎng)上支付、郵箱、聊天賬號等。
本刊記者:
網(wǎng)上傳說,CSDN密碼泄露的“罪魁禍首”是明文密碼?PCD的讀者很關(guān)心,為什么CSDN作為一個技術(shù)網(wǎng)站卻使用非常不安全的明文密碼?現(xiàn)在使用明文密碼存儲數(shù)據(jù)的網(wǎng)站多嗎?
石曉虹:
根據(jù)CSDN的聲明,CSDN社區(qū)早期曾經(jīng)使用過明文密碼。使用明文是因為和一個第三方chat程序整合驗證帶來的,后來的程序員始終未對此進行處理。在2009年4月,當時的程序員修改了密碼保存方式,改成了加密密碼。
明文存儲用戶密碼的網(wǎng)站比例很難統(tǒng)計,因為不同網(wǎng)站有不同的管理機制,只有接觸到網(wǎng)站數(shù)據(jù)庫的人才知道具體情況。按照慣例,網(wǎng)站應(yīng)該對用戶數(shù)據(jù)庫進行加密處理,把用戶數(shù)據(jù)庫泄露的風險降到最低。
本刊記者:
之前我們聊了對于網(wǎng)站、對于個人的影響,那么此次事件對整個安全行業(yè)會產(chǎn)生怎樣的影響呢?石曉虹:
“拖庫”是近幾年來地下黑客產(chǎn)業(yè)非常流行的攻擊方式,此前已有大批知名網(wǎng)站被“拖庫”的傳言,但一直沒有被公開證實。
此次事件證實了不少網(wǎng)站的用戶數(shù)據(jù)庫被黑客公開提供下載。許多用戶下載后發(fā)現(xiàn),自己的賬號、注冊郵箱、密碼全都暴露在網(wǎng)上,這種眼見為實的效應(yīng)快速引發(fā)了轟動。同時,這次事件也使黑客“拖庫”的危害開始公開化,客觀上能夠帶動網(wǎng)民密碼安全意識的提升。
本刊記者:
那么在今后,我們要如何避免類似事件的發(fā)生?作為普通用戶的我們應(yīng)該怎么做呢?您能給PCD的讀者一點建議嗎?
石曉虹:
第一,分級管理密碼。重要賬號(如常用郵箱、網(wǎng)上支付和聊天賬號等)單獨設(shè)置密碼?!?60安全衛(wèi)士》中已經(jīng)有“密碼安全鑒定器”功能,它可以檢測出密碼強度,如果強度不足則建議修改。第二,定期修改密碼。這可以有效避免網(wǎng)站數(shù)據(jù)庫泄露影響到自身賬號。第三,工作郵箱不用于注冊網(wǎng)絡(luò)賬號,以免密碼泄露后危及企業(yè)信息安全。本刊記者:
非常感謝您接受我們的采訪,為我們《計算機應(yīng)用文摘》的讀者解釋了疑惑!石曉虹:
感謝《計算機應(yīng)用文摘》和讀者們對網(wǎng)絡(luò)安全、對360的關(guān)注!也希望今后能有更多這樣的機會與大家交流!