貌似有大量早期帳號被盜
最近在群組板塊中會有類似上面這樣的垃圾廣告貼文
而點進去幾乎不是新創帳號
很多UID都在5000以內,創建了十餘年的帳號
有的甚至是管理組,共同點大概都是有數年至數十年沒上過論壇的帳號
請問論壇是否存在著一些密碼安全問題....
早期百合会被黑过几次,不排除是被黑客入侵后取走了数据库,然后用彩虹表撞库获得了用户密码。
你可以在论坛里用搜索功能找这些事,以下是我找到的几个:
https://bbs.yamibo.com/forum.php?mod=viewthread&tid=262832&highlight=%B1%BB%BA%DA
https://bbs.yamibo.com/forum.php?mod=viewthread&tid=35960&highlight=%B9%D2%C2%ED
https://bbs.yamibo.com/forum.php?mod=viewthread&tid=494527&highlight=%B0%D9%B6%C8%BD%F8%C0%B4
https://bbs.yamibo.com/forum.php?mod=viewthread&tid=498938&highlight=%B0%D9%B6%C8%BD%F8%C0%B4 如果被拖库了希望md5有加盐,要不各个平台密码都要改。
芳文社 发表于 2020-9-24 20:13
如果被拖库了希望md5有加盐,要不各个平台密码都要改。
Discuz的密码存储字段是加盐的,其方式为:
md5(md5($pass).$salt);
用人话就是:先把密码进行MD5哈希运算,然后再加入六位随机数(盐),最后再做一次MD5。
但是这强度并不算高,我就引用一段别处看到的博文吧。
为什么两次 HASH 会比较安全呢?一是其引入了随机数;二是第二次 HASH 的规则可以自定义。随机数使得暴力破解及 Rainbow table 方式破解的难度增大很多,但也并不是不可能(想想内存及计算能力的飞速发展)。
https://blog.csdn.net/u014023993/article/details/89891566
简而言之:对于DZ早期的那个年代,计算能力和内存都是很有限的,因此Hash+Salt这种操作问题还不大。
但是到了现在,计算能力和内存大幅度提升,DZ和一些其他的网站程序所使用的Hash+Salt的操作就很……脑残吧你们?(特别是:DZ的随机salt只有六位,这非常不合理)
这里扯远点:一些新兴的国产论坛程序(StartBBS、XiunoBBS)等等,也还在用Hash+Salt这种过时的手段。而不是使用专门的密码哈希函数(例如Bcrypt、Scrypt、Argon2、PBKDF2)。
这其实就是观念问题,摊手。
页:
[1]