今天是码农中箭改密码日,ms是中午爆出来有黑客在网上公开了CSDN网站用户数据库(2009年4月数据),包括600余万个明文的注册邮箱帐号和密码。很神奇的是我不知从哪里看到了caoz在12月16日就写了的 谈谈近期的安全事件

他在微薄说:“这个库很早就在黑客群体里有传了,社工库里的重要资源呢,今年参加过4399内部安全培训的都听我提到过,前几天写近期安全事件文档的时候没好意思点名说出来,看来是今天才有人公开出来。”

所以其实安全问题一直都在,之前很多人都没有重视,我也是第一次听说"爆库","社工库"。下面整理了些caoz文章里的信息:

按照 tombkeeper 教主所说,国内有点影响力的网站,2/3都被爆过库,传闻人人网和开心网也是被破的七七八八了,待证实。但是爆库不等于密码泄露,爆库+不正确的加密方式才是密码泄露!!!

防爆库是安全架构里非常重要的一点,还要做最坏的打算:别人拿到会怎样。密码明文存储的(没加密),那就是今天的csdn密码泄露;可逆加密的,只要黑客用点心,也是死路;不可逆的,比如HASH算法生产md5,有一个碰撞库的概念,现有的破解都是将常用字符计算HASH值后反向比较。例如密码123456,假设MD5值为1ab9744e58acee3ed8f03508cbf82bf5,那么数据库中查到MD5值即知道了密码。通过社会工程学的应用,大量常用密码已可直接破解。虽然2004年山东大学王晓云提出有关快速查找“碰撞对”的算法,震惊了世界,但是逆向md5目前仍然是不现实的事情。具体可以参考cnBeta的 浅谈HASH算法与CSDN密码泄漏事件 启蒙一下。

在爆库泛滥和密码破解率很高的情况下,社工库扫描就很流行了,简单说,你在若干网站用了同样的账号和密码,其中一个被爆库,密码被泄露,你的账号和密码就进入了社工库,这个库现在很庞大,有数亿条记录。比如今天csdn明文密码泄露,有经验的黑客会利用社工库数据扫描批量著名网站,就可以造成使用同样密码的支付宝被盗或是微博盗号,这就是社工库的威力所在!
防止社工库扫描,目前除了验证码,并无太好手段,但是BT验证码(不BT的验证码是很容易破解的)又是一个“伤害用户体验"的行为,这就无奈了,所以最好自己有方面的意识才是王道。

PS: 根据大牛,著名黑客Eric S. Raymond 的《Hacker 文化简史》,其实hacker黑客是Real Programmer。
“有一群人大声嚷嚷着自己是黑客,但他们不是。他们(主要是正值青春的少年)是一些蓄意破坏计算机和电话系统的人。真正的黑客把这些人叫做骇客cracker,并不屑与之为伍。多数真正的黑客认为骇客们又懒又不负责任,还没什么大本事。专门以破坏别人安全为目的的行为并不能使你成为一名黑客,正如用铁丝偷开走汽车并不能使你成为一个汽车工程师。不幸的是,很多记者和作家往往错把骇客当成黑客;这种做法一直使真正的黑客感到恼火。根本的区别是:黑客搞建设,骇客搞破坏。”