無賴性笑話 & 限制級笑話 06 Jul 2007 03:32 pm
|
推到 Twitter!
推到 Plurk!
|
變更密碼是為了提升密碼安全性?
昨日稿擠,故本稿延至今日刊出 XD
丁丁大站此次因為變更密碼手段粗糙,而導致全國上下震怒。更改密碼的原因眾說紛紜,但官方統一的說法是為了整合資料庫做準備。(通常兩站密碼格式不同要整合時,唯一解決的方法只有請使用者重新設定密碼,只是沒有人像丁丁大站手段如此粗糙與惡劣,前一陣子啞唬旗下子公司 Flickr 也在整合帳號,就從未爆發過民怨,也未向世界各地的使用者收取證件掃瞄檔)
這一次主要的變更就是將傳輸方式改為 SSL 傳輸 以及 變更密碼規則與長度。
只不過這次的變更卻暴露了有名大站之前的加密措施是多麼不安全的,還有變更密碼的流程是多麼設計不良的。更重要的是,變更後的密碼真的有更安全嗎?
也許很多人不知道變更為 SSL 有什麼差別?昨天筆者還在 圍紀實驗室 2007年台灣部落格大事記 7/4 的條目是這樣寫的:「無名小站密碼改用SSL 加密,強制用戶改密碼」。
老實說我覺得這樣寫不是妥當,因為這兩句是不同兩件事,這樣擺在一起好像是 SSL 是一種加密格式的樣子,為了採用 SSL 加密才要改密碼?所以筆者跑去對該小條做了小修正。
SSL 是一種加密傳輸,不是一種密碼編碼格式 -_-,一般要是我們看到某網址前面是 https:// 開頭的,進這個網頁當中的傳輸過程就是就是用 SSL 加密(信用卡刷卡頁面常用)。傳統上,所有你用瀏覽器瀏覽的封包,因為通訊機制使然,幾乎都是公開透明的(只要在同區網,掛監聽,帳號密碼手到擒來)。所以之前丁丁大站被人家罵得很凶,也是因為愛假借提升安全的名義,做一些丁丁行為(這道大旗真的很好用,講了就沒多少人會抗議,而他們又在資料保護上惡名昭彰,所以只要舉著提升資訊安全度,就可以胡亂惡搞,只是這次踢到鐵板…..),可是連密碼加密傳輸這個基本的防護措施卻都沒做。
而為什麼整合資料庫,要變更密碼呢?在一般不諳網站設計的人眼中都會覺得,阿~~我只要使用這個站的服務,站長一定會知道密碼的!其實不然,端看程式怎麼設計。一般來說,較安全的設計都是將密碼用 function 加密,然後存進密碼欄位裡。輸入密碼時再比對是否符合。
假如我設定的密碼是 1234,加密過後有可能變成 DCBA,存進資料庫的時候就是存 DCBA。你登入時系統只檢查跟資料庫驗證時最後是不是 DCBA,所以即使入侵被拿到 DATABASE 也不一定有用。(所以你密碼不見,通常網站客服和站長都會告訴你他們沒辦法幫你拿回密碼,只能重設。)
駭客(Cracker)們破解的方法通常是採取字典攻擊法去反解,拿常見的字下去跑加密。我不知道 DCBA 原始字串是什麼,可是我就是拿幾千組可能字串下去跑加密,誰加密後跑出 DCBA 那就是原始密碼囉。
不過這在不同家公司設計的系統整合時就頭大囉。要是大家都用同一套加密函數還好,要是不同,不知道原始密碼是很難整合的,筆者猜測也許這就是要變更密碼的主因。
只是,變更後會更安全嗎?誰都不敢保證,因為這只是一種轉移密碼的手段。只是有名大站原始的密碼最短只要 4 碼,而且沒有強迫英數夾雜。而新密碼強迫大家變更為六碼以上,而且必須英數夾雜。理論上,的確會使字典攻擊法難度變高,因為要跑更多組的樣本去比。
但是,在昨天筆者在寫完黑特文不久後,就有讀者馬上在推文裡說,丁丁客服竟然有辦法幫使用者測試新密碼是否可以正確 login。
雖然有知情長輩透露 Y 社的設計是絕不存明碼(就是一目了然的原始密碼)。但是,這張圖不免讓大家猜測,丁丁大站是否藉此次變更密碼的動作,自己偷偷存了一份明碼回家?
在上一篇文章的新聞裡,雖然受害人數被官方亂掰,但唯一一個共同點都是宣稱已有七十萬人變更密碼?那是不是代表已經有產生了七十萬份密碼明碼?(估計駭客們會更高興了,資料庫打下來本來還要跑字典檔反解,現在如果再入侵成功,拿到的就不需要了…)
偉哉丁丁大站,變更密碼的用意是為了提升密碼安全性。只是偷存明碼這個行為,幾乎跟向用戶收雙證件掃瞄本一樣的搞笑吧?
This
work is licensed under a
Creative Commons Attribution-Share Alike 2.5 Taiwan License.
[本文採 cc-by-sa 授權,白話意思就是可以直接轉走,但是要附出處與作者)]
16 Responses to “變更密碼是為了提升密碼安全性?”
on 06 Jul 2007 at 4:19 pm 1.Dryden said …
原本還猜測,會不會使用者更改完密碼,
無名會寄封密碼信到使用者信箱
然後客服就可以從那些信中看到新密碼…
於是剛剛跑去試了
事實證明,我想太多~~~
密碼更改成功,我信箱裡目前沒有確認信
(gmail不會掉信喔!XD)
on 06 Jul 2007 at 5:26 pm 2.Zenix said …
快上 Yahoo! 奇摩捷徑列找密碼
on 06 Jul 2007 at 6:47 pm 3.eRic said …
pixnet的[公告] 如何更新無名密碼及開通步驟在身份證上放了丁丁的照片有夠好笑的….
http://blog.pixnet.net/admin/post/5860137
on 06 Jul 2007 at 9:04 pm 4.dhchen said …
其實要抓密碼明碼還不簡單
login如果成功就把沒有編碼過的密碼另存一份就好了
何必大費周章要人重key密碼…
on 06 Jul 2007 at 9:05 pm 5.Kyo said …
“function 加密” 一詞看起來怪怪的
一般的做法大都是
密碼明碼-> 不可逆 hash 演算 -> 加密後的密碼
另外,其實這次丁丁的問題可以用很簡單地方式解決
甚至要拿密碼明碼也是很簡單
因為使用者輸入的密碼明碼經過 Server “不可逆 hash 演算” 後,最後產生的碼一定會一樣
因為要做比對用
所以只要 “不可逆 hash 演算” 前面加個 code
明碼一樣可以拿到
如果是要換演算法, 頂多就是把這串明碼送到
新演算法中再去跑一次, 如果 ok,就儲存
頂多跑個新舊 hash 演算法兩次
就知道這密碼是否有 “被更新” 過
至於 4 碼換成 6 碼的問題
因為都有辦法拿到明碼了,密碼長度自然一清二楚
就是強制要使用者更改成 6 碼的密碼就好
以上說的動作都可以神不知鬼不覺之中處理
只是我不知道丁丁他們在想甚麼? 是要吵新聞嗎?
on 06 Jul 2007 at 9:53 pm 6.蛋治 said …
無名這是沒事找事做, 把小事化到最大, 萬事丁丁化.
on 06 Jul 2007 at 10:18 pm 7.[記錄]無名小站要求用戶更新密碼,然後客服可以幫忙登入?-酷玩意部落格(sharecool.org) said …
[...] 2007.07.06 15:32 變更密碼是為了提升密碼安全性? [...]
on 07 Jul 2007 at 12:01 am 8.zoo said …
Yahoo 應該是要避開『丁丁大站的會員數是利用學術資源得來的』爭議!
高招!
on 07 Jul 2007 at 12:38 pm 9.XDit2 said …
如果為了保密做了編碼, 然後又去存一份明碼?
雖然無名在安全防護稱上不是一流的, 但是關於密碼保密的基本概念一定是有的, 資工系所畢業不可能不知道..
我覺得是客服的說法造成的誤會, 他應該是用工具測試登入程序, 不可能讓客服有辦法查到所有人的密碼..
整合兩個網站的安全性是由雅虎主導, 雅虎不可能在安全上留下這個後門!!
on 07 Jul 2007 at 2:56 pm 10.s3p said …
通常會挖後門的是不肖員工居多啊… XP
on 07 Jul 2007 at 10:55 pm 11.psycheblast said …
給5F
便宜行事是不好的,尤其丁丁一直又有被入侵的疑慮。我遇到好多人把 UID 設 0 的。不知道丁丁裡面有沒有這種人才呢。
然後,傳雙證件給台灣雅虎,應該叫羊入虎口,台灣雅拍,之前傳聞有不肖員工(這個或多或少都有聽過吧)。
on 08 Jul 2007 at 1:21 am 12.萌 said …
駭客(Hacker)
怪客(Cracker)
印象中很像是這樣才對
on 08 Jul 2007 at 10:10 am 13.菲ter said …
呀…我朋友之前在無名註冊時的那個yahoo信箱早就被盜n久啦= 3=
導致現在要po證件給無x小站= =….
稿的大家都不開心= =對這次無x小站的行為感到無言…還聲稱24小時一定回覆..根本就沒有嘛…
稿的我朋友位她那1000多篇的文章傷心..(怒)
on 08 Jul 2007 at 11:14 am 14.Dryden said …
幹麻傷心
本站不是有提供搬家教學嗎?
搬一搬就好了呀
on 08 Jul 2007 at 11:49 am 15.XDit2 said …
> 台灣雅拍,之前傳聞有不肖員工 ?
從來沒聽過,請問你是哪聽來的消息?
on 08 Jul 2007 at 7:44 pm 16.Kyo said …
“工具測試登入” 這邊怪怪的
“不用輸入密碼登入” 的工具
如果只是為了查看使用者帳號登入後是否異常
那使用這種工具測試很正常
但是使用者今天的問題是 “密碼問題” 而無法登入
所以, 問題來了
1.客服人員是時間太多喜歡做白工?
2.根本不了解使用者回報的狀況??
3.真有密碼明碼表的存在?
總之, 期待後續吧 XD