查看: 983|回复: 5

貌似有大量早期帳號被盜

[复制链接]
阅读字号:
发表于 2020-9-23 14:53 | 显示全部楼层 |阅读模式
擷取.JPG
最近在群組板塊中會有類似上面這樣的垃圾廣告貼文
而點進去幾乎不是新創帳號
很多UID都在5000以內,創建了十餘年的帳號
有的甚至是管理組,共同點大概都是有數年至數十年沒上過論壇的帳號
請問論壇是否存在著一些密碼安全問題....

评分

参与人数 1积分 +10 收起 理由
hongyuny + 10 已处理!

查看全部评分

发表于 2020-9-24 19:30 | 显示全部楼层
早期百合会被黑过几次,不排除是被黑客入侵后取走了数据库,然后用彩虹表撞库获得了用户密码。

你可以在论坛里用搜索功能找这些事,以下是我找到的几个:

https://bbs.yamibo.com/forum.php ... hlight=%B1%BB%BA%DA

https://bbs.yamibo.com/forum.php ... hlight=%B9%D2%C2%ED

https://bbs.yamibo.com/forum.php ... 9%B6%C8%BD%F8%C0%B4

https://bbs.yamibo.com/forum.php ... 9%B6%C8%BD%F8%C0%B4
发表于 2020-9-24 20:13 | 显示全部楼层
如果被拖库了希望md5有加盐,要不各个平台密码都要改。
发表于 2020-9-25 10:18 | 显示全部楼层
芳文社 发表于 2020-9-24 20:13
如果被拖库了希望md5有加盐,要不各个平台密码都要改。

Discuz的密码存储字段是加盐的,其方式为:
  1. md5(md5($pass).$salt);
复制代码


用人话就是:先把密码进行MD5哈希运算,然后再加入六位随机数(盐),最后再做一次MD5


但是这强度并不算高,我就引用一段别处看到的博文吧

为什么两次 HASH 会比较安全呢?一是其引入了随机数;二是第二次 HASH 的规则可以自定义。随机数使得暴力破解及 Rainbow table 方式破解的难度增大很多,但也并不是不可能(想想内存及计算能力的飞速发展)。

https://blog.csdn.net/u014023993/article/details/89891566



简而言之:对于DZ早期的那个年代,计算能力和内存都是很有限的,因此Hash+Salt这种操作问题还不大

但是到了现在,计算能力和内存大幅度提升,DZ和一些其他的网站程序所使用的Hash+Salt的操作就很……脑残吧你们?(特别是:DZ的随机salt只有六位,这非常不合理)

这里扯远点:一些新兴的国产论坛程序(StartBBS、XiunoBBS)等等,也还在用Hash+Salt这种过时的手段。而不是使用专门的密码哈希函数(例如Bcrypt、Scrypt、Argon2、PBKDF2)

这其实就是观念问题,摊手。

点评

二次哈希这种操作其实是在不知道更好的解决方案的情况下的“无奈代替品”,不应该作为在计算能力飞速发展的现在的“首选”。但我想说的是:既然无知就赶紧滚去学习先进知识而不是用旧的经验啊!这可是关乎安全的问题  发表于 2020-9-25 14:40
我本科时管理过系里的学生系统,当时密码就是简单的加盐,现在看来安全意识远远不够。  发表于 2020-9-25 11:52
您需要登录后才可以回帖 登录 | 成为会员

本版积分规则

Archiver|手机版|小黑屋|百合会 ( 苏公网安备 32030302000123号 )

GMT+8, 2025-1-18 18:18 , Processed in 0.111782 second(s), 25 queries , Gzip On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表