很多網(wǎng)站都有用戶系統(tǒng)，有用戶系統(tǒng)就有密碼存放，通常，密碼都是加密傳輸?shù)?，為了安全，通常是單向散列加密，或者說，不可逆加密，一個(gè)簡(jiǎn)單的判斷是，你通過密碼找回功能操作，如果讓你重設(shè)密碼的，基本上是不可逆加密的，直接給你密碼的，都是明文或可逆加密的，這種都非常危險(xiǎn)。

用戶系統(tǒng)面臨的風(fēng)險(xiǎn)大體包括

1：弱口令掃描

2：注入

3：偵聽

4：爆庫

5：社工庫掃描

此外XSS蠕蟲或其他溢出神馬的，限于篇幅，在這就不多提了。

目前玩弱口令掃描的少了，因?yàn)橥度氘a(chǎn)出不經(jīng)濟(jì)，注入是另一個(gè)話題，本文不提，偵聽要特別強(qiáng)調(diào)一下，不但存儲(chǔ)要注意安全，在傳輸和用戶錄入過程中的安全也非常關(guān)鍵，這也是類似支付寶，銀行網(wǎng)關(guān)等產(chǎn)品經(jīng)常要安全控件的原因，而作為常規(guī)的網(wǎng)站往往不肯如此影響用戶體驗(yàn)，在用戶體驗(yàn)至上的環(huán)境里，https也往往不被主流網(wǎng)站采納，一個(gè)簡(jiǎn)單的方法是，在登陸后生成一個(gè)臨時(shí)密碼作為當(dāng)前用戶的權(quán)限識(shí)別標(biāo)記，這個(gè)臨時(shí)密碼會(huì)在會(huì)話結(jié)束后過期，這樣的優(yōu)點(diǎn)是臨時(shí)密碼基本上不太擔(dān)心被偵聽（除非是實(shí)時(shí)捕獲實(shí)時(shí)操作）而登陸過程只有一次，認(rèn)證過程很多次，所以被偵聽到的幾率就會(huì)小很多。另外，前端js加密也是有用的，有些人從“技術(shù)”上會(huì)反駁，我知道你js加密手段，我很容易破解你，你加密有什么用？但是我希望大家有一個(gè)概念，很多情況下，正在玩?zhèn)陕牭募一锊⒉皇轻槍?duì)你的網(wǎng)站的，也往往并不是很專業(yè)的，可能就是網(wǎng)吧里看了一個(gè)黑客教程，下載了一個(gè)sniffer就開始玩的小p孩，設(shè)置的這些門檻，并不是針對(duì)那些盯著你非搞你不可的家伙，而能過濾掉這些無聊的過路黑客，對(duì)你的用戶來說，也是很有意義的事情。在成本較低，而你的網(wǎng)站知名度也不是很高的情況下，這些技術(shù)上看上去并不特別靠譜的事情還是可以大幅度提高你的安全性。記住一點(diǎn)，很多黑客并沒有明確的針對(duì)性，喜歡網(wǎng)上撒網(wǎng)，然后看到有意思的東西再去搞，你不能讓他看到一眼就覺得你的東西很好搞。

爆庫的事情是本文的重點(diǎn)，按照tombkeeper教主所說，國內(nèi)有點(diǎn)影響力的網(wǎng)站，2/3都被爆過庫，不要認(rèn)為自己的網(wǎng)站安全萬無一失，防爆庫是安全架構(gòu)里非常重要的一點(diǎn)。防爆庫不僅僅是防止別人拿到你的庫，還要做最壞的打算，別人拿到會(huì)怎樣；密碼明文存儲(chǔ)的，100%是死路，可逆加密的，只要黑客用點(diǎn)心，也是死路。不可逆的，很多工程師會(huì)以為可以高枕無憂了，但是這就是碰撞庫的范疇；類似于cmd5.com這樣的碰撞庫，其規(guī)模遠(yuǎn)遠(yuǎn)超出了早期的字典檔，所以常規(guī)諸如md5或者mysqlpassword加密的密碼，在碰撞庫里被破解的幾率，大于95%。至少，我常用的密碼，我斷定都在碰撞庫里，原因很簡(jiǎn)單，不在碰撞庫里的密碼，我是斷然記不住的。那么如何規(guī)避這樣的行為呢？加大加密強(qiáng)度？比如2次md5?3次md5?固定salt2次md5?貌似不在碰撞庫里了，是不是安全了呢？不是！只要你的加密算法是固定的，而且是黑客所能掌握的（比如固定salt被黑客知道），那么黑客跑一個(gè)常規(guī)密碼檔是非?？斓?，在這種情況下，你的用戶庫賬號(hào)越多，黑客投入產(chǎn)出比越有價(jià)值，雖然沒有cmd5這么龐大的碰撞庫，但是用一天跑一個(gè)幾千萬乃至過億常用密碼的碰撞庫，專門來對(duì)付你的數(shù)據(jù)庫，也是很值得的事情，這種破解率，會(huì)很容易達(dá)到60%，有些朋友在微博反饋里說70%，大概也是這種類型。低成本的安全策略，就是隨機(jī)salt二次加密，為什么discuz會(huì)用這種方法，是有原因的，因?yàn)檫@種開源軟件你無法封閉你的加密途徑，你必須讓系統(tǒng)在開源的情況下，密碼不會(huì)被破解（或者說門檻太高，投入產(chǎn)出不合理），有人說隨機(jī)salt黑客會(huì)看到，并不安全；這個(gè)觀點(diǎn)的問題誤區(qū)在于，仍然只是將黑客當(dāng)做針對(duì)特定賬號(hào)的行為，而沒考慮到黑客的真實(shí)生存環(huán)境，隨機(jī)salt(每個(gè)密碼獨(dú)立的salt)的意義，對(duì)于只破解單獨(dú)賬號(hào)，與固定salt并無區(qū)別，但是對(duì)于破解一個(gè)龐大的用戶數(shù)據(jù)庫而言，固定salt黑客只需要跑一個(gè)碰撞庫，而隨機(jī)salt需要對(duì)每個(gè)密碼跑一個(gè)碰撞庫，這個(gè)計(jì)算成本。。。遇到這樣的情況，你較真說，黑客一個(gè)個(gè)salt跑，一樣可以跑出60%的密碼，但是，絕大部分黑客，遇到這樣的情況，會(huì)放棄，因?yàn)椋恢档眠@樣的投入。

很遺憾的是，國內(nèi)太多，太多，太多知名網(wǎng)站，都沒有對(duì)用戶密碼做到足夠防護(hù)，以至于太多網(wǎng)站一旦爆庫就會(huì)泄露絕大部分用戶密碼，比如最近傳聞的人人網(wǎng)和開心網(wǎng)，雖然不能完全證實(shí)，但是從傳聞來看，顯然也是被破的七七八八了。記住一點(diǎn)，爆庫不等于密碼泄露，爆庫+不正確的加密方式才是密碼泄露！

另外，雖然中國山東大學(xué)出了一個(gè)王小云教授震驚了世界，但是逆向md5目前仍然是不現(xiàn)實(shí)的事情，別說這玩意很簡(jiǎn)單，沒有黑客會(huì)如此濫用計(jì)算力，除非是政府機(jī)構(gòu)，針對(duì)特定目標(biāo)，你的賬號(hào)，通常情況下，不值得這樣做，除非你是屏蔽詞。

在爆庫泛濫和密碼破解率很高的情況下，社工庫掃描就很流行了，簡(jiǎn)單說，你在若干網(wǎng)站用了同樣的賬號(hào)和密碼，其中一個(gè)被爆庫，密碼被泄露，你的賬號(hào)和密碼就進(jìn)入了社工庫，這個(gè)庫現(xiàn)在很龐大，有數(shù)億條記錄，是的，caoz的記錄也在里面，要不是圈里的朋友提醒，我都不知道自己也中招了。因?yàn)橐粋€(gè)著名站長社區(qū)被爆庫，導(dǎo)致我在百度passport的密碼外泄。這就是社工庫的威力所在！有經(jīng)驗(yàn)的黑客會(huì)利用社工庫掃描著名網(wǎng)站，輸入社工庫的賬號(hào)和密碼，看能不能匹配成功，這個(gè)成功率就比弱密碼掃描高出不止一個(gè)數(shù)量級(jí)，這也是弱密碼掃描不再流行的原因！微博最近頻繁出現(xiàn)盜號(hào)事件，據(jù)查也是社工庫掃描導(dǎo)致的。我們網(wǎng)站和很多朋友網(wǎng)站也遇到了社工庫掃描。有朋友如徐宥箴認(rèn)為黑客這樣做收效太小，沒有意義，他搞錯(cuò)了一點(diǎn)，黑客并不是逐一手工嘗試的，而是用非常海量的數(shù)據(jù)批量掃描的，這樣成本是非常低的，規(guī)模化的操作，甚至很多中招的人只是黑客“摟草打兔子”的附帶品，完全是沒有成本的戰(zhàn)利品。黑客只要抓住一個(gè)大號(hào)就賺了，很多無辜的被過路盜掉了而已。防止社工庫掃描，目前除了驗(yàn)證碼，并無太好手段，但是驗(yàn)證碼又是一個(gè)“傷害用戶體驗(yàn)"的行為，所以最近新浪BT驗(yàn)證碼頻繁被罵，也著實(shí)無奈。

【編輯推薦】

1. 如何針對(duì)安全事件建檔保存
2. 掛馬檢測(cè)平臺(tái)把脈網(wǎng)絡(luò)安全事件
3. 為何域名安全事件如此頻發(fā)？
4. 企業(yè)網(wǎng)絡(luò)安全事件識(shí)別與分類