过去一段时间来, 众多的网站遭遇用户密码数据库泄露事件, 这甚至包括顶级的互联网企业–NASDQ上市的商务社交网络Linkedin,
国内诸如CSDN一类的就更多了。
层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃。
那么在选择密码存储方案时, 容易掉入哪些陷阱, 以及如何避免这些陷阱? 坚果云,作为一个用于同步、备份文件的云存储服务提供者,在安全方面有一些心得,记录于此,与大家分享。
菜鸟方案:
将明文密码混入“随机因素“,然后进行单向哈希后存储,也就是所谓的”Salted
Hash”。
这个方式相比上面的方案,最大的好处是针对每一个数据库中的密码,都需要建立一个完整的rainbow table进行匹配。 因为两个同样使用“passwordhunter”作为密码的账户,在数据库中存储的摘要完全不同。
10多年以前,因为计算和内存大小的限制,这个方案还是足够安全的,因为攻击者没有足够的资源建立这么多的rainbow table。 但是,在今日,因为显卡的恐怖的并行计算能力,这种攻击已经完全可行。
专家方案:
看到这里,如果你产生了危机感,那么就行动起来:
1)如果你是普通用户,那么我们建议采取这种方案,对不同的网站使用不同的密码;
2)如果你是开发人员, 并且现在已经采取了简单的MD5哈希存储,请关注我们的后续文章。我们会讲述在保证用户正常登陆的情况下,如何进行密码迁移。