数据库被脱库,为什么密码会泄露?

2018-08-30 13:48:35 +08:00
 zinplus

最近华住酒店数据库泄露,但是看到暗网上售卖的信息居然还包括账户的登陆密码。 联想到以前几次脱库,比如之前网易 163 邮箱被脱,也是让大家更改密码。 可是身份信息也就罢了,为什么登陆密码也会泄露呢? 难道现在还有明文储存密码的公司吗?

可能这个问题有点蠢,请问有了解的 v 友吗。

11020 次点击
所在节点    程序员
37 条回复
bubuyu
2018-08-30 13:52:46 +08:00
因为很多人都用同样的密码
p2pCoder
2018-08-30 13:54:03 +08:00
暴力破解
nl101531
2018-08-30 13:54:59 +08:00
据说弱密码 000000,123456,666666,888888,这四个密码可以破解中国 30%的银行卡密码。
f2f2f
2018-08-30 13:55:11 +08:00
社工库啊
A555
2018-08-30 13:56:25 +08:00
简单的哈希 彩虹表对照就能知道,然后就是撞库
yksoft1
2018-08-30 14:01:00 +08:00
你看了放出来那些验证数据么?没加盐。
Tianao
2018-08-30 14:01:11 +08:00
「难道现在还有明文储存密码的公司吗」
是的,还有很多。

不过包括本案在内的大多数密文密码遭解密都是依靠彩虹表、反哈希运算实现的。
R18
2018-08-30 14:01:43 +08:00
@nl101531 弱密码是禁止设置的
NotNil1
2018-08-30 14:06:01 +08:00
@R18 弱密码虽然是禁止设置的,但是下发的卡初始密码可能就是这些,比如农村养老金,补助发放,保险缴款等银行卡,初始密码就是 123123,或者 123456,你不改其实也没有明确限制你不可用,所以还是客观存在的。
indev
2018-08-30 14:06:37 +08:00
再怎么说也要简单加密一下吧,还是用第三方登录会方便些。
另外推荐一个密码管理的小东东:(Lesspass)[https://github.com/lesspass/lesspass],不是那个 Lastpass。还有它的 (cli)[https://github.com/lesspass/lesspass/tree/master/cli] 也挺好用,再也不用担心使用弱密码了,也不用费心什么同步的问题
solomensec
2018-08-30 14:11:40 +08:00
是个人信息泄漏,不是密码,密码有什么用。
WuwuGin
2018-08-30 14:14:30 +08:00
很多国产框架对密码的处理就是 md5
yoqu
2018-08-30 15:07:34 +08:00
因为有门学科叫做社会工程学
ClutchBear
2018-08-30 15:16:19 +08:00
因为常用的密码的 md5 都被算出来了,
根据这个 md5 值反向查找就行了啊.
xuanbg
2018-08-30 15:17:26 +08:00
很多人(包括我自己)在各大网站的密码都是一样的,如果有个网站被脱了裤,不幸密码还是明文存储的,那么别的网站的密码也就泄露了。
helionzzz
2018-08-30 15:35:27 +08:00
当然也有可能这个账户就是一个新建的
lasuar
2018-08-30 18:38:43 +08:00
你奢望酒店,饭店,便利店,超市有多安全的 IT 服务?
MonoLogueChi
2018-08-30 18:58:38 +08:00
拖库,撞库,彩虹表
UnluckyNinja
2018-08-30 19:15:26 +08:00
记得好像密码泄露是说数据库本身后台的密码?
Hconk
2018-08-30 19:29:02 +08:00
mysql5 没加盐,弱密码彩虹表可破

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/484542

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX