賬號洩漏門：DBA需增強網路安全意識【轉】

【IT168 評論】近期接連爆出網站註冊使用者的賬號密碼，以及郵箱地址資訊，被公佈在網路上，並且提供網路下載地址，而且這些網站洩漏的資訊都一 個特點，多數為2009年左右，且是提供賬號名稱、密碼和郵箱地址資訊，這就非常值得可疑，為此以一個IT從業者的角度談談個人看法。

　　首先我們梳理下，這次網站賬號密碼被人公佈在網路上事件的過程：

　　(1). 新浪微博爆出部分使用者被劫持，使用者投訴自己的新浪微博莫名其妙地幫轉其他人的微博資訊;

　　(2). 行業內爆出著名IT技術領域網站CSDN 600萬使用者的賬號密碼和郵箱地址資訊被人公佈;

　　(3). 著名論壇型社群網站被爆出天涯4000萬使用者的賬號密碼和郵箱地址資訊被公佈出來;

　　(4). 即時線上IM使用者最多的騰訊也被爆出，使用者的賬號密碼資訊被人公佈出來，暫時未見下載地址;

　　(5). 最後，行業內有更多相關資訊，描繪 人人網、開心網等網站的賬號密碼資訊也洩露了，但是還未見相關下載地址等資訊;

　　上述網站賬號密碼資訊被爆出的都是明文密碼，這說明國內多數網站儲存使用者賬號密碼為明文的習慣還是沒有改變，其實我們以前的遊戲註冊網站也是儲存明文密碼的，只不過是單獨存放在特殊的資料庫伺服器中，並且隱藏在最後面的方式，內部應用程式都無法直接訪問。

　　wooyun.org網站正式公開訪問以來，確實公佈了不少網站應用、線上企業軟體、網路遊戲等 應用的漏洞，而且這些重大新聞資訊的公佈都與其有關，並不是說始作俑者是該網站的作者(注：請各位不要誤解)，再結合上述所言這些被洩漏的使用者資訊多數為 2009年左右時期的資料，也即說明這些資訊可能早就被盜出，只是還未公佈或未大規模範圍內傳播而已，只不過wooyun.org網站的影響力越來越大， 關注的人數越來越多，為此已經公佈立即被傳播開而已。

　　我們再談談關於明文密碼的相關事情，很多人在網路上散步言論說是政府要求審查使用者資訊而不得不方便政府的人員登入訪問，而對使用者密碼資訊儲存為明文，這個說法幾年前就有的，個人闡述下此說法不靠譜的前因後果：

　　(1). 即使有關部門需要審查使用者的資料資訊，也沒有必要需要用明文密碼登入的方式，可以通過相關係統直接提供此類服務，根本不需要登入，就像網路遊戲行業的GM工具一樣;

　　(2). 儲存明文密碼，主要是早期企業無相關技術實力，更多是安全意識，為此就儲存為明文密碼;

　　(3). 儲存明文密碼，是為方便使用者藉助賬號名稱，外加郵箱地址或手機號碼的方式找回密碼，而多數採用郵箱地址，多數人擔心自己的手機號碼資訊被倒，而擔憂簡訊騷擾;

　 　關於賬號、郵箱地址及明文密碼被洩露是否黑客所為?若是真正的黑客行為，往往不會這麼公開地提供下載地址，而往往是以網路交易方式進行，一般一封郵件 (注：一封郵件單位為100個使用者賬號資訊)售價是1元人民幣，若是以此價錢出售的話，像CSDN的賬號密碼資訊至少可以賣6W塊，綜合相關資訊考慮，應 該不是黑客直接攻入其系統內部偷盜的資料，更多的資訊指向是內部人員自己倒賣，或者是內部人員不慎在個人電腦 或者 無安全措施且有外網IP地址的伺服器上，被黑客掃描到或者像360防毒軟體等途徑洩漏，不過我更加相信最後一種猜測，因為只是安全意識造成的，而不是人為出賣自己品格方式造成的。

　　既然已經發生使用者賬號密碼等資訊洩漏，IT從業者及網際網路行業公司也別慶幸自己家沒發生此類事情，我們應該反思如何杜絕此類事情的發生，或者說讓違法成本更高，那麼我們大家可以一起探討下：是否真有必要儲存使用者的明文密碼?或者把使用者密碼加密成可逆的密文?

　　針對上述丟擲的問題，我們簡單做下解答：

　　(1). 明文密碼是100%沒有必要儲存，這樣成本和風險代價太高;

　　(2). 不儲存明文密碼，也不影響使用者忘記密碼如何辦，我們可以提供密碼重置功能，還可以對使用者註冊資訊更完整地收集有幫助，比如與手機號碼繫結的方式，與身份證繫結的方式，密保問答的方式等;

　　(3). 若真是有關部門要求查閱使用者資訊，也可以通過內部系統的方式訪問，但是限定於公司內部IP地址方式;

　 　(4). 使用者密碼加密成可逆的密文，主要是不採用客戶端許可證等模式，非常容易被黑客破解。採用客戶端許可證、U盤等模式，又限制使用者的方便性，以及網頁JS端就 必須支援加密，否則明文傳輸就容易被攔截，若是JS端就執行加密演算法，無客戶端支援情況下，更會加大黑客們破解加密解密演算法的容易性，為此儲存為可逆的密 文方式基本不靠譜，對於多數應用性網站，除非指紋技術在終端裝置上非常普及;

　　綜合上述資訊的描述，鼓勵網際網路企業應用必須轉變方式，改 為苛刻模式儲存明文密碼，或者立即轉換成只儲存不可逆的密文，但是提供更加完備，相對而言更安全可靠的密碼修改方式，另外不少公司對待使用者輸入的賬號密碼 資訊都沒有加密，而是明文在網際網路上傳輸，這是一種非常危險的方式，至少要對使用者輸入的密碼資訊在JS端就進行加密，然後進行網路傳輸給伺服器端。

　 　最後，我們再談下網際網路行業從業人員的安全意識及自身品質的要求。國內不少早期創業且現在有所成就的公司，其系統中都有創業者也即老闆性角色自己寫的代 碼身影，以及元老們寫的程式碼，從當時的角度看很好的做法，但是現在已經落伍了，為此管理者必須堅定地支援和推進系統的技術改造，以適應IT行業技術的飛速 發展，否則就可能要吃大虧的，像京東商城屬於當下吃虧最嚴重的公司，千萬不要礙於個人面子關係而去阻礙後來者的技術改造。

　　安全意識必須 貫徹到每個人的心窩裡，否則就隨時可能因某個人的疏忽大意而出問題，以前可能很多黑客是直接攻擊外網伺服器的模式，而這塊多數技術人員都有明顯的安全意 識，並採取了相應的預防措施，然後公司的辦公網路，以及個人辦公電腦確實最容易被疏忽，從而成為被祕密攻擊的物件，然後藉助個人辦公電腦或辦公網路去攻擊 企業的伺服器，或者偷盜資料的方式早已經成為公認的捷徑，為此對於有條件的公司，必須淨化公司的辦公網路，對非必須人員(如SA、DBA、NA以外人群) 儘量不要開放個人電腦的系統管理員許可權，而是採用按工作需要統一安裝軟體或公司內網程式安裝軟體的模式;對能訪問伺服器系統的人員，採用VPN的模式，並 且集中訪問某內網某臺或叢集的挑戰模式，再去訪問需要到達的伺服器。

　　關於伺服器的訪問許可權及人群關係，比如應用程式伺服器 和 後端資料庫伺服器，以及資料備份儲存的裝置等，必須進行網路路由隔離和控制的模式。對訪問的人群，必須做一些必要性限制，儘量減少接觸相關伺服器的人員， 以及針對不同需求只給定合理的許可權，並且儘量給予其更小的許可權，避免許可權過大;對於需要真實環境資料測試之用時，要儘量使用模擬程式自動生成的模式，或者 對需求者實行總監審批流程，並且要求去掉敏感資料，以及把一些資訊混淆之後再提供給內網進行之用。

　　對於上規模的公司，也即走上正軌的公 司不要省掉花費在安全防護上的費用，應該花費的錢必須花，並且不要一味相信裝置是萬能的，而應該多堅信安全技術從業者才是最重要的，並且讓他們定期給出公 司的安全資訊報告，並且針對DBA、SA、網路工程師等要採用祕密內審計的模式，以防止出現隱患。

　　【結束語】

　　上述也 只是個人泛泛而談，再次強調網路完全靠架構師、Coding工程師、網路安全工程師、系統工程師等，對於DBA人員必須加強安全意識資訊傳達，而且招聘 DBA的時候必須考慮其人品，否則可能出大問題，以前的公司曾被我查出過一位老員工偷公司的遊戲點卡，不過他很識趣地提前離職了，以前盛大也發生過，另外 也請老闆級別人物別虧待這些苦逼的DBA們，但是也請DBA從業者以人品為重，不要因小失大，既犯道德上的錯誤，還違法而可能遭受法律的懲罰。我們技術圈 內的人，要多努力，避免再次發生 天涯4000萬，CSDN600萬使用者賬號密碼資訊洩漏的事情，安全無小事，一丁點細節都可能被網路高手發現和利用

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/25618347/viewspace-714134/，如需轉載，請註明出處，否則將追究法律責任。