Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
VmuTargh
V2EX  ›  程序员

关于网易,补刀

  •   
  •   VmuTargh · Oct 19, 2015 via Android · 8246 views
    This topic created in 3857 days ago, the information mentioned may be changed or developed.
    嗯,刚才上线看到网易大规模撞库一下子蒙了, yandex 撞库都没我什么事但是网易一撞真的跪了,因为我一大堆账号的密码都和网易的密码一个样……现在在苦逼改密码,作业都没时间写了……

    另外有邮箱绑定到网易的 v 友们赶紧改密码了,很大可能也中枪了……现在我很多的账号已经中枪倒地不起。刚才去改了网易邮箱的密码,目前正常登陆……

    本人中枪列表: qq3 枚(大号可以不管,已经被盗,但因为注册时强制二次密保自己又忘记,所以现在可以排除)、 yandex 账号 2 枚, github 账号 2 枚,度娘 2 枚, google 、 facebook 、 twitter 、 opera link 、 lastpass 、 firefox 、 openshift 、 bitbucket 、 bakabt 、 rutracker 、 noname-club 等各一枚……

    苦逼改密码去了……
  • 密码
  • 网易
  • 撞库
  • yandex
    51 replies    2015-10-20 22:41:22 +08:00
    tntsec
        1
    tntsec  
       Oct 19, 2015
    网易泄漏的是哈希密文,如果你的密码本身就够强壮,你不能担心被破解
    网易后台能有登陆记录
    另外我改了密码了,防患于未然
    VmuTargh
        2
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @tntsec 刚才改密码前看了一下记录,上一次登录邮箱是 2 年前……所以没有问题,但是为了以防万一还是改了密码,另外看现在泄露的情况,网易没有加盐,直接暴力破解一下子一大串……
    tntsec
        3
    tntsec  
       Oct 19, 2015
    @VmuTargh 看乌云报道,是加盐的。不然也不用爆破,直接登录就行了
    而且肯定是加盐的,哪有直接存明文的, CSDN 除外
    15 位以上带符号密码基本没有破解的可能性
    imnpc
        4
    imnpc  
       Oct 19, 2015
    目前看泄漏的是 md5
    还好网易的早就不是主邮箱了....
    gmail 开了 2 次验证 勉强能安全点吧
    VmuTargh
        5
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @tntsec 那就不清楚了,但是密码是 7 位数字加 5 位纯小写……理论上破解难度很大,但是刚才被吓得不轻直接加了一位小写字母……
    VmuTargh
        6
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @imnpc gmail 我也不用的,主力是 2 个 yandex 邮箱
    Luzifer
        7
    Luzifer  
       Oct 19, 2015
    我都忘记用这货注册了那些服务。麻痹的,整一晚上了。
    tntsec
        8
    tntsec  
       Oct 19, 2015
    @VmuTargh 15 位以下的数字,字母大小写早被跑干净了。
    zander
        9
    zander  
       Oct 19, 2015
    @tntsec 登录记录屁用没有, 163 邮箱 SMTP/POP3/IMAP 默认开启,走这些协议的不会留下记录。
    VmuTargh
        10
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @tntsec 算了,再加几个俄文字母好了……
    imnpc
        11
    imnpc  
       Oct 19, 2015
    顺便说下
    目前还是有明文保存密码的要求
    不过一般是只读性质放在内网
    不清楚有多少这样要求的
    不过国内的页游公司都有这要求
    maroon
        12
    maroon  
       Oct 19, 2015
    网易邮箱不能改手机号也特么太 sb 了
    dalaomj
        13
    dalaomj  
       Oct 19, 2015
    @tntsec 早期的互联网,都和 CSDN 一样。明文或简单 MD5 。 CSDN 在泄漏之前已经不是明文了,但架不住已经泄漏的老数据在黑产圈传播,然后某一天就抖给公众了
    zangbob
        14
    zangbob  
       Oct 19, 2015
    上次 CSDN 导致丢了一个网易邮箱后,就不敢用了。

    虽然保留了一个帐户,也是通过软件生成的超长密码。刚才又顺手去改了一下……
    Zzzzzzzzz
        15
    Zzzzzzzzz  
       Oct 19, 2015
    有清单还好,我这边用了十四年网易邮箱, 注册的东西数不清了, 已经懒得改了 ( T﹏T )
    VmuTargh
        16
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @zangbob 现在就是怕很多绑定在网易邮箱的其他邮箱密码被波及…… 5e 的数量肯定是波及到一部分了,刚才和贴吧里头某只水羊羊谈到这个问题瞬间惊悚了……
    dalaomj
        17
    dalaomj  
       Oct 19, 2015
    简单的 md5 加密? 过去泄漏->现在解密(一般的库,彩虹表暴破,破解率已超过 95%)
    现在很难破解的加密方式?封存数据->未来解密
    安全这事,只能尽力。没有绝对。
    cxbig
        18
    cxbig  
       Oct 19, 2015
    现在针对 MD5 的彩虹表已经很齐全了,最快速度改密码和问答还是有必要的。
    Zzzzzzzzz
        19
    Zzzzzzzzz  
       Oct 19, 2015
    突然想起一件事, 网易除了自己做邮箱以外, 也销售邮箱解决方案, 这次要是邮箱方面程序出问题导致的数据泄漏, 那问题大了。
    miyuki
        20
    miyuki  
       Oct 19, 2015 via Android
    俄文 2333
    Andy1999
        21
    Andy1999  
       Oct 19, 2015 via iPhone
    @tntsec MD5
    nikubenki
        22
    nikubenki  
       Oct 19, 2015 via iPhone
    @VmuTargh yandex 邮箱怎么样,我一直用他们家的浏览器
    VmuTargh
        23
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @miyuki github 支持俄文……刚才试过了,顺便说一下,我网易邮箱的密码修改完登录不上去……果然是出问题……
    VmuTargh
        24
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @nikubenki 很不错,有时候会误 spam ,垃圾邮件识别还是挺准,之前 qq 一大堆垃圾邮件还有病毒邮件 yandex 里一个也看不到……
    jings
        25
    jings  
       Oct 19, 2015
    @tntsec
    2 位 UTF-32 的 unicode 码 就够受的。
    量子计算机真正应用前 密码还能正常存活多久?
    hinate
        26
    hinate  
       Oct 19, 2015 via Android
    还好我最开始用的 gmail ,反正现在也不好登录,放心!
    ys0290
        27
    ys0290  
       Oct 19, 2015 via iPhone
    已在中国雅虎死掉前连续奋战多日将各网站绑定邮箱换到域名邮箱下
    kmahyyg
        28
    kmahyyg  
       Oct 19, 2015
    16 位剧复杂随机密码路过……
    visonnn
        29
    visonnn  
       Oct 19, 2015
    自己把密保问题答案给忘了 233333

    改都改不了
    VmuTargh
        30
    VmuTargh  
    OP
       Oct 19, 2015 via Android
    @visonnn 还好我绑定了另外的邮箱,刚才已经改完了一部分
    liyvhg
        31
    liyvhg  
       Oct 19, 2015
    @nikubenki 邮件秒推到手机(安卓手机客户端没有运行的情况下)应该是走的 GCM
    Orzzzz
        32
    Orzzzz  
       Oct 20, 2015
    你这个,逻辑有漏洞,这裤子爆出来不是一两天了,非得前几天账号沦陷?就这么巧?

    另外这么多账号同一个密码,我也是醉了, lastpass 是干啥的?
    irainsoft
        33
    irainsoft  
       Oct 20, 2015
    先找能找到的社工库查你邮箱 把需要的网站密码改了
    binghe
        34
    binghe  
       Oct 20, 2015
    还好我每次登陆都需要手机验证码认证才可以。不过我还有哪些密码和网易一样的,我现在一下子也想不起来了。。。
    binghe
        35
    binghe  
       Oct 20, 2015
    @Zzzzzzzzz 我也差不多,已经完全记不清用网易注册了多少东西。。。。
    sogisha
        36
    sogisha  
       Oct 20, 2015   ❤️ 1
    @jings 仍然有量子计算机解决不了的密码算法。

    例如,量子计算机虽然很快,但是爆破散列的速度也只是将 256 比特的散列降低到 128 比特( SHA512 降低到 SHA256 还是很安全的)。然后,用散列就可以构建公钥签名算法(如 MSS 算法)。

    能抗量子计算机的公钥加密算法也是有的。例如 NTRUEncrypt 。
    tusj
        37
    tusj  
       Oct 20, 2015 via Smartisan T1
    @tntsec 大哥,你是不是没有理解什么叫加盐啊?
    tntsec
        38
    tntsec  
       Oct 20, 2015
    @tusj 本来我说哈希,他一说加盐我也加盐了。。看报道就是 MD5 没加盐
    pljhonglu
        39
    pljhonglu  
       Oct 20, 2015
    目前来看泄露的是密文,应该不是撞库出来的。
    重要网站密码还是 3 个月改一次比较安全~
    kiwi95
        40
    kiwi95  
       Oct 20, 2015
    应该有加盐吧,出了这么多事故,如果加盐都不做,真是太懒了
    zhangxiaoman
        41
    zhangxiaoman  
       Oct 20, 2015
    我特么做个自己的小 demo 的登录都是 sha256 +salt + md5 ..

    233333
    zjuster
        42
    zjuster  
       Oct 20, 2015
    密码要独立独立独立。重要的事情说三遍。
    jyf007
        43
    jyf007  
       Oct 20, 2015 via Android
    墙内包括你站都是弱密码。
    Feiox
        44
    Feiox  
       Oct 20, 2015
    如果采用 1024 位的哈希加盐,使用彩虹表爆破应该是没有希望了吧 ~

    但,我 TM 真的见过明文存密码的 ~ 有些小公司真的是够了
    jasonding
        45
    jasonding  
       Oct 20, 2015
    12+数字加字母大小写,暴力破解要好久
    yuanzz
        46
    yuanzz  
       Oct 20, 2015
    如果真的是加盐,就没这么多丢 iCloud 帐号的了。
    VmuTargh
        47
    VmuTargh  
    OP
       Oct 20, 2015 via Android
    @Orzzzz 账号沦陷倒没有,但是已经从 7 年前形成的习惯……很难掰过来, lastpass 是一个和 1p 相似的提供密码在线存储的服务
    Clarencep
        48
    Clarencep  
       Oct 20, 2015
    @tntsec “网易泄漏的是哈希密文,如果你的密码本身就够强壮,你不能担心被破解 ” -- 这个和你本身的密码强度其实关系不是太大,还是要看运气。比如你起了个长达 20 位的包含了各种特殊字符的密码 A ,网易存的是 B=md5(A),但是如果 cracker 刚好用一个很短的 C 达成了 md5(C) = B ,那么他就完全可以用 C 作为密码登录你的账户....
    killerv
        49
    killerv  
       Oct 20, 2015
    @zjuster 但是要想都记住不容易啊
    Orzzzz
        50
    Orzzzz  
       Oct 20, 2015
    @VmuTargh 额……我的意思是说,你直接用 lastpass 管理密码不就好了吗……我一直用他们的服务,很赞。
    jings
        51
    jings  
       Oct 20, 2015
    @sogisha 我只是在装逼,然而你竟然回了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   4489 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 113ms · UTC 05:30 · PVG 13:30 · LAX 22:30 · JFK 01:30
    ♥ Do have faith in what you're doing.