历史

用户名密码明文传输新浪被爆7000万用户

2019-05-15 00:42:04来源:励志吧0次阅读

1 : 新浪被爆7000万用户密码泄漏 明文保存密码

1月5日,安全站游侠安全()发布消息称,新浪存在用户密码泄漏漏洞,同时明文保存用户密码。

该站称,新浪iask存在sql注射漏洞,利用漏洞可读取iask数据库内内容,包括明文密码在内的7000多W新浪用户信息。

游侠安全演示的利用iask的漏洞读取用户密码

同时,游侠安全举例子称,通过上述漏洞,起可以直接找到知名魔术师刘谦的用户名和密码。而刘谦也在其微博承认其秘密都被看光。

刘谦在其微博承认其秘密都被看光

据悉,目前,新浪已修复其漏洞。

不过,游侠安全则质疑称:新浪在csdn、天涯等用户库泄漏后申称新浪数据库并没有泄漏,而且密码是密文保存。这里要提出质疑了,数据库密码明明是明文保存。少iask中大部份用户是明文保存密码(部分用户查不到密码)。至于用户信息是不是泄漏,这个不用说了把?

12月26日,针对有消息称新浪微博476万用户信息外泄1事,新浪方面本日称,新浪微博帐号信息采取加密存储,并未出现被盗情况。

此前,新浪微博曾发布公告提示用户:近日有站的用户账号信息产生泄漏,如果您在微博上使用了和其他站相同的登录邮箱和密码,为了确保账号安全,建议您尽快修改密码。另外,如果您设置的密码过于简单,也会增加账号被盗的风险。(雷风)

2 : 让用户在输入密码时看到明文吧

在2012年时,我(英文原文作者)曾解释过为何应当让人们在输入密码时看到明文,特别是在移动设备上。两年过去了,相干的实践模式越来越多的进入我们的视野。

为什么要显示密码明文?

密码输入方面的可用性问题被诟病已久。复杂的安保要求(少xx个字符、必须包括标点符号和大写字符...)和难用的输入方式等等常常会使用户产生强烈的挫败感,乃至蒙受损失。

数据显示,约82%的用户曾忘记过密码;找回密码是使用频率的功能之1;如果人们在购进程中忘记密码并尝试找回,那么其中约有75%的用户不会完成终究购买。可以说,密码这类机制的弊端是越发明显的;而在移动设备上,遭到使用情境及装备本身在显示和操作等方面的局限,情况则变得更加糟。

密码遮罩使本就复杂的输入变得更加困难,而且对安全方面的贡献着实有限,特别是在移动装备上 - 键盘就位于输入框下方,你输入字符时,对应的按键还会突出显示,其中的字号比输入框里的更大。所以在现实中,如果真的有人想在你身旁偷窥,密码遮罩其实起不到甚么保护作用;这类情况下,倒是把拿到1个更隐蔽的地方进行输入来的更安全。

切换隐藏与显示

出于所有这些缘由,我们决定在Polar的登录界面将密码明文显现给用户,并在密码栏右侧提供1个隐藏按钮,如果你确切需要,即可以点击该按钮将密码切换为遮罩符。

虽然我相信这是有益于可用性及可访问行的正确做法,(]但还是有些担心用户看到密码明文后会产生负面感受,毕竟久长以来的遮罩设计模式已令人们产生了“安全”的认知习惯。

所以,当我听说有人不但发布了以明文显现密码的产品,而且还获得了成功的事情以后,觉得很是欣喜。在这篇推中,Steven Hoober告知我们,两千万的Sprint用户已在使用着移除密码遮罩的产品,没有遇到任何问题;Mike Lee也说,当时Yahoo!的改版当中包括了移除密码遮罩等1系列改进,并带来了两位数的增长幅度,并且没有发现任何安全方面的问题。

在我看来,密码遮罩突然间就变成了往事物,1个存在了很长时间的设计模式开始被逐步的质疑和唾弃。回头看看,我们曾那末天经地义的把密码遮罩当作默许模式来使用,而对可用性乃至是业务的侵害也随之而来。

解决方案

近1段时间,很多公司开始认真对待密码遮罩的问题了,并带来了很多不同的解决方案。PayPal和Foursquare采取的就是前面提到的我们在Polar当中使用的模式:

LinkedIn、Adobe和Twitter也是类似,不过将文字按钮改成了睁1眼闭1眼的图标。图标情势有益有弊,1方面可能不如文字情势那末不言而喻,但另外1方面,对有国际化需求的产品来说,可以免译文长度难以控制的问题。

微软采取的实践方式略有不同。在Windows 8中,密码默许仍以遮罩情势显示,按住右侧的眼睛图标可以查看密码明文,移开手指后再次恢复遮罩状态。

Amazon1直在反复迭代着登录表单的设计模式:初是没法查看密码明文,就像大家1直以来那样;后来允许用户勾选是不是显示密码明文,但默许还是显示遮罩;接下来就是默许显示密码明文,但允许用户勾选使用遮罩模式。

虽然这些方案各有益弊,但重要的1点是,微软、Adobe、Twitter、LinkedIn、PayPal、Amazon和其他很多公司都已意想到了久长以来存在于登录表单当中的可用性问题,并大胆的进行了改变。

设计在细节中

虽然愈来愈多的公司开始尝试让用户在输入密码时看到明文,但这其实不意味着你可以随意拿来某种模式扔到自家产品中。实际上,正是这类人云亦云的思惟模式让我们久长以来1直在使用那些其实不那么公道的设计模式,包括密码遮罩。

更加可取的是,试着花些时间结合自己产品的具体情况真正研究1下各种方案的利弊,要知道这些细节当中的变化是有可能对产品产生很大影响的。我们无妨来看看Jack Holmes做的关于移除密码遮罩研究。

Jack的测试表明,对电商类产品,当登录密码默许以明文情势显示的时候,60%的被测用户感到不安,他们觉得这多是站中的bug或某种严重的安全隐患,只有45%的用户认为这类方式相比以往更加好用;而在默许显示明文并提供复选框来恢复遮罩的模式下,100%的被测用户意想到这是1个正常的功能改进,而且不会影响到他们对这个电商站的信赖感。

从60%的疑虑,到100%的认可 - 细节中的设计真的事关重大。从这个研究结果来看,Amazon决定采取“默许显示密码明文,允许用户手动隐藏”的模式不是没有道理的。

Web v.s. App

前面提到的都是利用或系统中的案例,但目前在页面端采取这类模式的还不多见。都是1样的服务,为何要让通过阅读器访问的用户不能不面对比较难用的界面呢?

不外乎是安全方面的顾虑,特别是这样1种情况:

我的装备有可能被你使用

你解锁了我的设备

你打开了1个站

我正好在阅读器中保存了登录这个站所用到的密码

这个站正好提供了查看密码明文的功能

因此你知道了我的密码

Web阅读器将密码保存及自动输入功能与查看密码明文功能搭配在1起使用确切是1件非常危险的事,可能带来严重的安全问题。下降危险系数的1个做法是,如果探测到阅读器已自动填入了之前保存的密码,那末就在页面中把密码框直接隐藏起来;如果有人想查看密码,那末密码框会清空,用户需要重新输入密码;此时输入的密码为明文,并允许切换为遮罩模式。

遗憾的是,在页端实现这套方案所需付出的设计和开发本钱仿佛已超越它能带来的潜伏价值。

超出密码

在移动端登录的问题上,Amazon从未停止过迭代。在近的iOS版本中,他们乃至移除密码登录,让用户可以直接通过Touch ID验证身份。

Uber走的更远些。要通过他们的服务来叫车和支付,你乃至无需创建账户、输入密码、填写复杂的支付信息 - 所有的身份认证工作都可以通过Touch ID完成(使用Apple Pay)。

虽然Touch ID仅限于iOS设备,但这确切是1种极大下降身份验证操作本钱的新标准。如果人们能自主选择登录或支付的方式,你觉得大家会选择复杂的表单、乱78糟的密码规则及不可见的密码遮罩,还是1个简单的触摸?

从这个角度看问题的话,登录表单和密码机制的未来就变得清晰起来;这些乃至不会再成为问题。

来源:Be For Web

3 : 谷歌明文存储用户密码 与其交付不如自我保护

谷歌Chrome阅读器曾被Chapin信息服务公司暴光,在当前的主流主流Web阅读器中,谷歌Chrome在密码管理方面的安全性。

谷歌明文存储用户密码以提高安全性

本日,国外媒体报导,谷歌Chrome阅读器的秘密存储政策遭到安全评论员和媒体视察人士的批评。他们说,这是Chrome阅读器的1个安全漏洞,允许接入用户计算机的任何人看到用户的全部密码。

假定1个用户可以接触到另外1台电脑,那末他就能够看到这台电脑里面的所有账户密码,这些密码乃至可以切换到在屏幕上直接显示明文。

肯博说,这个问题是Chrome阅读器密码存储中的1个漏洞,因此是这个阅读器的1个安全漏洞。

但是谷歌的Chrome安全主管贾斯汀表示,谷歌之所以明文存储的安全密码,是由于Chrome不希望让用户有1种虚假的安全感,而产生冒险行动。这从另外一种角度帮助用户提高了使用安全性。而且如果1个潜伏的攻击者已可以访问用户机器,那末游戏就已结束了,有太多方法可以得到攻击者想要的东西。任何防御措施到那时都是没用的。

火狐阅读器查看账户密码的方法也是一样的,打开1个对话框,确认显示密码便可,并没有进1步的身份验证。

苹果Safari阅读器弹出1个对话框,要求用户输入目前登录那台计算机的密码。不输入密码,Safari阅读器将不显示其它内容。

是谁在威胁用户的安全?

挂马站、下载文件、钓渔站、搜索引擎、购安全、微博敲诈、阅读器账户密码、隐私安全。在很多阅读器评测稿件中我们不难发现,不同的阅读器有着不同的优势,但是没有1个阅读器能做到面面俱到。

木马、黑客病毒常常是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒负责盗取密码。而在外贸企业进行海外邮件通讯时,由于海外通讯稳定性差,会遭受黑客拦截邮件的情况。

我们能放心把密码交给阅读器吗?

把密码保存在阅读器中的问题在于窥测私密信息的眼睛无处不在,除其他能够登录我们电脑账户并查看密码或信誉卡数据的用户以外,还有很多歹意人士正潜藏在暗处、打算1举盗走我们计算机、智能或平板装备中的敏感信息。另外,如果我们在抛弃陈腐计算机是没有及时清除磁盘中的内容,一样的风险总会再度出现;不管是这些装备落在谁的手中,1旦信息被恢复原状,我们的安全必将遭到威胁。与此同时,某些病毒及歹意软件也会以无孔不入之势占据我们的装备,并将密码或信誉卡信息劫持而去。

相信大家1定注意到了,很多银行站及其它1些处理高度敏感信息的站点都会建议我们千万不要把密码保存在阅读器当中。但是这还远远不够,如果我们为了省事而在各个账户中使用相同或类似的密码,那末其它非关键性账户在高危站上的登录一样会威胁到数据乃至是经济安全。举例来讲,如果我们的社交平台账号与银行密码1致,那么1旦前者被盗,相信信誉卡中的款项也会很快被转走。

某些阅读器允许用户(固然也包括潜伏的罪犯)查看我们在其中保存的登录信息列表,包括目标站、用户名及密码等。即便大家使用的阅读器不支持这项功能,类似WebBroswerPassView这样的工具也能轻松根据cookie数据汇总出这样1份列表。固然,如果我们意外忘记了密码或打算对所有账户密码进行系统整理,那末这类功能还是很故意义的。不过1旦入侵者在我们的计算机上使用这些软件,大麻烦就真的要来了。另外,我们(和罪犯)可以利用BulletsPassView这类工具将阅读器登录界面或窗口中本来以星号或圆点显示的隐藏密码字符内容显示出来,希望大家一样保持高度警惕。(IT专家)

如何保护我们隐私?

*安装安全软件,定时升级、查杀,保证电脑健康。

*密码设置复杂化,例如admin、123456、abcd乃至是邮箱用户名等简单的密码设置容易被黑客破解。

*尽量少或不在公共场合登陆,避免私人信息被记录。

*触及财产交付的邮件需通过或传真进行2次确认。

*邮箱可以进行ip登陆限制,即只允许指定ip范围登陆邮箱,包括客户端,非指定ip没法登陆及使用邮箱。

*管理员可以通过后台设定角色定期修改密码。和提示。

4 : 互联安全再遭质疑 :明文传输or加密不够

据新华社中国事报导,日前有外媒针对UC阅读器发布了1篇质疑报道,称其存在信息传输加密问题。但有专家随即指出,国内互联厂商对不触及敏感信息的地理位置信息、设备信息等大多采取类似的传输加密方式。

针对文中提到的信息传输加密风险,独立评测人对百度、腾讯、京东、阿里等互联公司的利用进行测试,结果发现大多数利用普遍存在明文传输或加密级别不够等问题。该国外机构的质疑1定程度上给中国互联行业的移动利用信息传输加密通用标准提出了整体挑战。

以下是国内主流利用的测试结果:

百度地图仅做简单加密,腾讯地图则根本未加密

百度阅读器的地图第3方SDK使用的是百度地图的络定位服务。百度地图没有采取安全级别更高的HTTPS加密方式,只是在本地利用1个.so进行加密,便可在虚拟机上利用这个.so抓取Baidu的数据,以下图:

而阅读器的地图第3方SDK使用的是腾讯地图的络定位服务,腾讯地图在客户端采取的是明文存储(用户信息、时间、定位信息、POI信息等),情况,以下图:

百度阅读器和阅读器消息推送SDK都明文传输了IMEI等装备信息

针对阅读器使用的消息推送SDK进行分析,我们也能看到阅读器在运行进程中将IMEI等设备信息明文传输到服务器。

我们进行简单分析:对阅读器测试的机主的信息以下图:

络劫包工具抓取的阅读器与的通讯要求post的数据体,该数据经过标准的url编码,解码后能清晰的看到用户imei等信息被明文发送到服务器。

阅读器在传输进程中,IMEI等装备信息被明文发送到服务器,以下图:

一样,在对百度阅读器使用的信息推送SDK进行分析后发现,其传输数据针对IMEI等信息只是做了倒序处理,基本没有加密作用。同时百度阅读器中用于URL的加密算法依然是对称加密算法,是可以通过破解客户端来得到解密算法还原加密信息的。

用于分析百度阅读器的信息见下图:

通过络劫包工具抓取的百度阅读器与的通讯要求头发现,其POST的数据体虽然是加密的数据,但进行简单解密以后发现只是对关键信息做了1个倒序的处理,以下图:

而且这个通讯要求得到的结果,是以明文回传的用户地址信息,以下图:

百度阅读器、阅读器的搜索关键词要求也都是明文传输

同时,对阅读器、百度阅读器和其默许使用的搜狗搜索和百度搜索的搜索关键词传输也进行了测试,结果发现搜索要求均采取了明文传输的方式。

阅读器,默许使用搜狗搜索,在要求头里出现了搜索词,见下图:

百度阅读器,默许使用百度搜索,在要求头里出现了搜索词,见下图:

京东商城客户端、百度一样明文传输用户装备信息

京东商城一样采取相同数据传输相同方式:从以下测试中可以看出,京东商城客户端首次启动就会向自己服务器发送用户IMEI等设备信息,而这些信息都是明文传输方式。

用于分析的信息以下图:

京东商城客户端与服务器通讯的络要求头以下图:

京东商城客户端与服务器通讯的络要求数据体,可以看到用户的IMEI信息经过简单的URL编码后明文传输

百度在地理位置sdk的通讯中上传搜集了用户的IMEI等设备新息,虽然传输进程对数据做了加密处理但是强度较低,可以通过对本地客户真个逆向破解来截获络传输中的加密数据。

用于分析百度的信息以下:

络劫包工具抓取的百度阅读器与的通讯要求头以下图:

络劫包工具抓取的百度阅读器与的通讯要求post的数据体显示是加密状态,但经过简单解密破解还原出的明文数据,注意红框的部份就是用户imei,只是做了1个倒序的处理,且要求结果以明文回传用户地址信息

百度用于URL加密算法,经测试该算法类似但是做了较大改动,不过依然是对称加密算法,是可以通过破解客户端来得到解密算法还原加密信息的。

注:

针对此次国外人权机构提出的国内移动利用信息传输加密风险,是指中国主流的移动利用在使用1些第3方利用的SDK时,在触及传输1些不敏感的地理信息及设备相干信息时,加密级别不够高,存在被攻破风险。

国内利用针对非敏感类信息基本未使用非对称加密算法(HTTPS),而是使用对称加密算法进行数据传输,当SDK被人逆向分析就会致使密钥泄漏。

国外报告出来后,阿里巴巴公司已提高信息安全加密级别,因此暂不对其利用进行评测。

白带粘稠用什么药物
产后恶露老是反复怎么办
怎么辨别产后流血
分享到: