貌似有大量早期帳號被盜

mikun

最近在群組板塊中會有類似上面這樣的垃圾廣告貼文
而點進去幾乎不是新創帳號
很多UID都在5000以內，創建了十餘年的帳號
有的甚至是管理組，共同點大概都是有數年至數十年沒上過論壇的帳號
請問論壇是否存在著一些密碼安全問題....

樱花散

早期百合会被黑过几次，不排除是被黑客入侵后取走了数据库，然后用彩虹表撞库获得了用户密码。

你可以在论坛里用搜索功能找这些事，以下是我找到的几个：

https://bbs.yamibo.com/forum.php ... hlight=%B1%BB%BA%DA

https://bbs.yamibo.com/forum.php ... hlight=%B9%D2%C2%ED

https://bbs.yamibo.com/forum.php ... 9%B6%C8%BD%F8%C0%B4

https://bbs.yamibo.com/forum.php ... 9%B6%C8%BD%F8%C0%B4

芳文社

如果被拖库了希望md5有加盐，要不各个平台密码都要改。

樱花散

芳文社 发表于 2020-9-24 20:13
如果被拖库了希望md5有加盐，要不各个平台密码都要改。

Discuz的密码存储字段是加盐的，其方式为：

1. md5(md5($pass).$salt);

复制代码

用人话就是：先把密码进行MD5哈希运算，然后再加入六位随机数（盐），最后再做一次MD5。


但是这强度并不算高，我就引用一段别处看到的博文吧。

为什么两次 HASH 会比较安全呢?一是其引入了随机数；二是第二次 HASH 的规则可以自定义。随机数使得暴力破解及 Rainbow table 方式破解的难度增大很多，但也并不是不可能（想想内存及计算能力的飞速发展）。

https://blog.csdn.net/u014023993/article/details/89891566

简而言之：对于DZ早期的那个年代，计算能力和内存都是很有限的，因此Hash+Salt这种操作问题还不大。

但是到了现在，计算能力和内存大幅度提升，DZ和一些其他的网站程序所使用的Hash+Salt的操作就很……脑残吧你们？（特别是：DZ的随机salt只有六位，这非常不合理）

这里扯远点：一些新兴的国产论坛程序（StartBBS、XiunoBBS）等等，也还在用Hash+Salt这种过时的手段。而不是使用专门的密码哈希函数（例如Bcrypt、Scrypt、Argon2、PBKDF2）。

这其实就是观念问题，摊手。