很遗憾的是,国内太多,太多,太多知名网站,都没有对用户密码做到足够防护,以至于太多网站一旦爆库就会泄露绝大部分用户密码,比如最近传闻的人人网和开心网,虽然不能完全证实,但是从传闻来看,显然也是被破的七七八八了。记住一点,爆库不等于密码泄露,爆库+不正确的加密方式才是密码泄露!
另外,虽然中国山东大学出了一个王小云教授震惊了世界,但是逆向md5目前仍然是不现实的事情,别说这玩意很简单,没有黑客会如此滥用计算力,除非是政府机构,针对特定目标,你的账号,通常情况下,不值得这样做,除非你是屏蔽词。
在爆库泛滥和密码破解率很高的情况下,社工库扫描就很流行了,简单说,你在若干网站用了同样的账号和密码,其中一个 被爆库,密码被泄露,你的账号和密码就进入了社工库,这个库现在很庞大,有数亿条记录,是的,caoz的记录也在里面,要不是圈里的朋友提醒,我都不知道自己也中招了。因为一个著名站长社区被爆库,导致我在百度passport的密码外泄。这就是社工库的威力所在!有经验的黑客会利用社工库扫描著名网站,输入社工库的账号和密码,看能不能匹配成功,这个成功率就比弱密码扫描高出不止一个数量级,这也是弱密码扫描不再流行的原因! 微博最近频繁出现盗号事件,据查也是社工库扫描导致的。我们网站和很多朋友网站也遇到了社工库扫描。有朋友如徐宥箴认为黑客这样做收效太小,没有意义,他搞错了一点,黑客并不是逐一手工尝试的,而是用非常海量的数据批量扫描的,这样成本是非常低的,规模化的操作,甚至很多中招的人只是黑客“搂草打兔子”的附带品,完全是没有成本的战利品。黑客只要抓住一个大号就赚了,很多无辜的被过路盗掉了而已。防止社工库扫描,目前除了验证码,并无太好手段,但是验证码又是一个“伤害用户体验"的行为,所以最近新浪BT验证码频繁被骂,也着实无奈。(不BT的验证码是很容易破解的,网上有开源程序,caoz试过,很好使的!)
以上这些,是针对当前微博盗号事件的一个简要总结,如果您看不懂,可以转给您所在公司的技术负责人,如果您所在公司的技术负责人也不懂,而恰好您的公司维护一个非常重要的发布在互联网上的用户库,请你们大boss迅速换掉这个技术负责人,就这样。
更多技术话题不展开,caoz也是业余的,这玩意也就是科普。想探讨更多的,建议在新浪微博上请教 @benjurry, @tombkeeper。