返回
密码数据库和密码安全

密码数据库和密码安全

ID:43774332

大小:637.50 KB

页数:21页

时间:2019-10-14

密码数据库和密码安全_第1页
密码数据库和密码安全_第2页
密码数据库和密码安全_第3页
密码数据库和密码安全_第4页
密码数据库和密码安全_第5页
资源描述:

《密码数据库和密码安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、密码数据库和密码安全密码数据库前不久,CSDN社区网站被入侵,备份密码数据的数据库被盗,导致了近600w用户账号密码被泄露。然后,黑客将连接公布到互联网,导致任何人可以获得该数据。该事件几乎横扫了整个中文互联网。随后又爆出多玩游戏800万用户资料被泄露的消息,另有传言人人网、开心网、天涯社区、世纪佳缘、百合网等社区都有可能成为黑客下一个目标。一时间人人自危,更换密码者无数。这件事件又提示我们密码数据备份安全的重要性。密码数据库这次事件让人们想起了这个问题。事实上,对于几乎所有网站,密码的存储和验证的程序

2、就是:第一次登陆,用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)。以后用户输入用户名,密码,并且和服务器已经存储的密码比对(登录)。这里有三个步骤,用户输入密码,密码传输到服务器,服务器储存密码。而这次CSDN密码泄事件就是储存密码的服务器泄露出了问题。当然,用户面临的风险有很多。点此进一步查看密码数据库一般来说,每个网站都有一个或者多个数据库。这些数据库当然是被保护起来的,一般不能被下载到。那么,无孔不入的黑客如何获得被保护的数据库呢?密码数据库比较常用的方法是利用一些服务器返回的错误

3、信息推断数据库的位置。比如著名的“%5c”暴库大法。也有用动态网页的漏洞去推测数据库管理员的密码的。但事实上,有经验的管理员自然会对技术手段有所防范。但密码泄露的途径有可能无关技术性。有可能是某个员工或者入侵者把数据拷贝走了,有可能是服务器无意中了某个病毒。现实中数据库泄露的途径是各种各样的,总之,危险总是存在的。密码数据库当然,我们得做好那些不那么“技术性”的密码泄露途径的防护。我们更应该做好技术上对密码的保护。这就引出了一个话题,加密。在本次事件当中,被泄露的CSDN数据库,用的是明文储存密码。这显

4、然安全性是很低的,一旦被泄露,就会造成现在如此不好的影响。而这些被泄露的数据,也是年份较早的数据库。现在的数据库,一般都会对储存的密码进行加密。密码加密谈到加密,就不得不谈大名鼎鼎的哈希函数了。限于水平,只能简单的介绍一下哈希函数的原理。哈希函数,是HashFunction的音译,又名散列函数。简单的来说哈希函数的作用是将一个大的集合映射到一个小的集合。著名的哈希函数有MD5和SHA-1等等。而哈希函数还可以方便查找,两个数的哈希值不同,那么这两个数一定不一样。而哈希值的集合比原文的集合要小,显然查找哈

5、希值速度更快。哈希函数产生的函数值还有不可逆的特性,这使得通过哈希值找出原密码的难度十分大。事实上,出于对数据库泄露后密码安全性的保证与对用户隐私的保护。现在网站数据库记录的一般不是明文,而是密码的哈希值。一种典型的散列函数图片来自维基百科。密码加密然后,哈希函数也不是万无一失的。首先,哈希函数是一个大的集合到小的集合的映射。这就可能出现一个哈希值对应许多密码的情况。这种情况被称为碰撞。这样,黑客就不需要密码原文去通过服务器的验证。因为只需找一个与原密码对应同一个哈希值的密码就可以通过验证了。尤其是在哈

6、希算法被人知道的情况下。另外,黑客手中也往往有一份碰撞库,可以用来尝试通过验证。密码加密针对这种情况,管理员们也有许多应对的方法。比如对密码进行多次哈希函数的加密。然而这个方法依然可以被破解。或者是设计新的更好的哈希函数,但是设计这样一个函数显然要花十分大的精力。于是,管理员们耍了许多其他的花招。这便是所谓的“MD5+随机”加密方法,或者叫“随机salt二次加密”。小佐料,大用处管理员们在对密码进行一次哈希加密后,在哈希值中添加一串系统生成的随机数,再进行一次哈希加密。这串被添加的随机数就被称为是“Sa

7、lt”,添加了这小小的“佐料”,大大的提高了黑客工作的难度。密码加密当然,就算是再好的算法也有它的不足。再完善的加密方法也可能被黑客突破,比方说salt值也可能泄露。所以,管理员与用户的安全意识的提高十分重要。管理员要在数据传输的时候注意数据的安全。而用户得懂得如何设置复杂的密码,防止被简单的暴力破解。此外,重要的账户的密码不能重复,以防止一旦数据库被暴库而造成的社工库扫描,来把损失降到最低。密码设置的安全事实上,许多账户被盗和用户自己有很大的关系。比方说许多用户的密码设置单一,而且设置密码太过“普遍”

8、,导致黑客可以通过枚举来破解。前不久,密码管理应用提供商SplashData总结出2011年度最差25个密码。其中,排在前列的有password,123456,12345678等等烂大街的密码。也有不少用户把密码设成与用户名一样。黑客在破解密码的时候常常是从这些最为简单的密码开始试,甚至把一些最常见的密码编成了“密码词典”,借此尝试破解用户密码。所以,这类密码的安全性显然是十分之低的。常见的笨密码看看你是否“中箭”了令人堪忧的结果从图表中可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。