今天乌云平台上又有人爆料安全问题:网易邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)。
MD5介绍
网易是用MD5码保存的密码,简单地说一下MD5。严格来说MD5是散列(或者哈希,Hash)算法,而不是加密(Encrypt)算法。散列算法是将信息转换成具有相同长度的、不可逆的字符串,而加密(Encrypt)是将目标信息转换成具有不同长度的、可逆的密文。简单来说,MD5具有唯一性和不可逆性。
MD5是Message-Digest Algorithm 5 (信息-摘要算法5)的缩写,输入任意长度的信息,先对信息进行填充(信息后面填充一个1和多个0),使其字节长度扩展为N×521+448,然后再在结果后面附加一个64位二进制表示的填充前的信息,则字节长度现在为(N+1)×512,然后分成N+1组,分别处理,最后得到一个128位的散列值。理论上来说强力破解MD5极其困难,但是并不是不可能,尤其是大部分用户密码都较弱的事实。
彩虹表(Rainbow Tables)是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类散列。现在主流的彩虹表有100G以上。
如何评价网易数据泄露
套用一下知乎体。那么这件事情的严重性究竟如何呢?不妨开一下脑洞:
- 很多用户的密码都是同一个,而且很多网站都可以通过邮箱/密码登陆,比如支付宝、iCloud、新浪微博、以及各种敏感信息类的网站,细思极恐。
- 利用邮箱重置密码。就算你使用的密码不一样,但是很多网站都可以通过邮箱来重置密码,那么拿到了邮箱也就相当于拿下了一大票网站。
- 发挥你的想象力,拿到这些敏感信息能干什么?
信息安全的重要性一直不能得到人们足够的重视,最主要原因是大部分人并没有被黑的价值。很多人被黑都是被余震波及,比如区域性攻击。各位可以搜索一下各大社工库,比如 社工库。
关于网易这次数据泄露,虽然官方已经发表声称是撞库,但是我们需要注意到的事实是数据已经泄露了。所以还是希望能够引起大家足够的重视。
启示:
- 不要一个密码多用
- 开启密码多步验证
- 保持敏锐的嗅觉,防患于未然
密码管理
关于密码管理,实在是老生常谈,这里就不详诉了。介绍几个密码管理工具1Password/LastPass/KeePass。
1Password工作原理是你管理1Password,1Password管理你的密码。1Password使用256位的AES来加密你的密码,保存在本地文件中。你再给1Password搞一下密码来统一管理。LastPass类似,不过是存放在云端。不过尴尬的是,LastPass已经泄露过了。KeePass是一款开源的,它包含了一个强大的密码产生引擎与加密储存机能,能够提供一个安全的密码储存空间。为了识别你的身份,还需要一个起始密码。
其实我更关心的,使用这些墙外的工具本身是不是安全,毕竟火长城在那儿摆着呢。