Chinaunix

标题: 有鉴CSDN用户密码大泄密事件，请问CU的用户密码是明文保存还是加密保存？ [打印本页]

作者: rickcafe 时间: 2011-12-21 20:28
标题: 有鉴CSDN用户密码大泄密事件，请问CU的用户密码是明文保存还是加密保存？
请管理人员说明一下。

作者: chenyx 时间: 2011-12-21 20:45
discuz的程序,密码肯定是加密存储的

作者: 7717060 时间: 2011-12-22 10:29
本帖最后由 7717060 于 2011-12-22 10:42 编辑

安全没有绝对的，建议cu内部做case study ，分析csdn的问题，引为为界，同时培养用户的习惯，不同的网站用不同级别的密码。

作者: Steiny 时间: 2011-12-22 10:37

作者: yeeek 时间: 2011-12-22 10:56
CU的密码是瑞儿帮忙设置的

作者: waker 时间: 2011-12-22 11:21
建议使用相同密码数>5的用户全部清除,不是太2就是马甲太多

作者: 帅绝人寰 时间: 2011-12-22 15:11

这么重要的问题，官方没人回答一下？

作者: 绝世好银 时间: 2011-12-22 16:19
肯定是明文，便于搞鬼

作者: send_linux 时间: 2011-12-22 16:22

帅绝人寰发表于 2011-12-22 15:11
这么重要的问题，官方没人回答一下？

我们是md5的，然后加了一些干扰字串，但是现在人人自危啊，没人敢出来说安全啊：（

作者: 帅绝人寰 时间: 2011-12-22 16:24

send_linux 发表于 2011-12-22 16:22
我们是md5的，然后加了一些干扰字串，但是现在人人自危啊，没人敢出来说安全啊：（

哦，也就是说，你不知道我（albcamus）的密码是fucksendlinux?

作者: fanglq04 时间: 2011-12-22 16:46
你要愿意我把你的密码设为 fuckyourself 纯属玩笑

作者: zylthinking 时间: 2011-12-22 17:17

帅绝人寰发表于 2011-12-22 16:24
哦，也就是说，你不知道我（albcamus）的密码是fucksendlinux?

真的耶，登录成功了

作者: 帅绝人寰 时间: 2011-12-22 19:28

fanglq04 发表于 2011-12-22 16:46
你要愿意我把你的密码设为 fuckyourself 纯属玩笑

别激动，我只是想试验下CU的密码是不是明文存储

作者: ioerr 时间: 2011-12-23 14:05

作者: Shell_HAT 时间: 2011-12-23 16:08
CU用的DZ的论坛程序，即使是管理员也看不到明文密码。

作者: fanglq04 时间: 2011-12-23 17:39

rickcafe 发表于 2011-12-21 20:28
请管理人员说明一下。

MD5（md5+salt）

不会泄露

作者: 帅绝人寰 时间: 2011-12-26 16:12

fanglq04 发表于 2011-12-23 17:39
MD5（md5+salt）

不会泄露

有关部门没跟你们要过明文密码？？？

作者: reiase 时间: 2011-12-27 13:47

帅绝人寰发表于 2011-12-26 16:12
有关部门没跟你们要过明文密码？？？

有关部门，还要你密码吗？
国内网站叫你交数据你还敢不交，直接关停

作者: 刘五十三 时间: 2011-12-27 15:05

fanglq04 发表于 2011-12-23 17:39
MD5（md5+salt）

不会泄露

话太满了，明文密码散列后总要保存在一个地方的，泄露是没人可以打包票的。如果md5密码泄露了，还有用字典法破解的可能，看看csdn漏出来的简单密码是大部分。

而且就算密码是安全的，帐号和邮箱的对应也有泄露的风险，而邮箱也散列保存后注册新帐号检测是否有重复邮箱消耗资源就太大了，不过估计cu还问题不大。

看了半天，感觉需要架构师从最坏的角度考虑。记得以前学rsa的时候看的一篇文章说法就是

假设加密算法敌人能够获得

假设每次密文发送都会被敌人完整截取

假设以前的每次发送过的密文和明文敌人都掌握，可以做对照研究

以上条件下，发送一个密文，保证密文的安全性就是架构师的事了。

不过这个是加密算法的架构考虑，还没有想过电脑被种木马之类的可能，以及通过登陆界面强行暴力猜密码的可能。还有arp嗅探之类的流氓做法。感觉这次事后，需要做最坏的打算下，以可接受的成本实现一个用户和密码的保护。不知道那个牛逼人物能做到这一点了。

作者: r2007 时间: 2011-12-28 12:27
回复 19# 刘五十三

似乎懂点皮毛的空谈。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)