V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
VmuTargh
V2EX  ›  程序员

关于网易,补刀

  •  
  •   VmuTargh · 2015-10-19 21:14:33 +08:00 via Android · 7459 次点击
    这是一个创建于 3321 天前的主题,其中的信息可能已经有所发展或是发生改变。
    嗯,刚才上线看到网易大规模撞库一下子蒙了, yandex 撞库都没我什么事但是网易一撞真的跪了,因为我一大堆账号的密码都和网易的密码一个样……现在在苦逼改密码,作业都没时间写了……

    另外有邮箱绑定到网易的 v 友们赶紧改密码了,很大可能也中枪了……现在我很多的账号已经中枪倒地不起。刚才去改了网易邮箱的密码,目前正常登陆……

    本人中枪列表: qq3 枚(大号可以不管,已经被盗,但因为注册时强制二次密保自己又忘记,所以现在可以排除)、 yandex 账号 2 枚, github 账号 2 枚,度娘 2 枚, google 、 facebook 、 twitter 、 opera link 、 lastpass 、 firefox 、 openshift 、 bitbucket 、 bakabt 、 rutracker 、 noname-club 等各一枚……

    苦逼改密码去了……
    51 条回复    2015-10-20 22:41:22 +08:00
    tntsec
        1
    tntsec  
       2015-10-19 21:19:23 +08:00
    网易泄漏的是哈希密文,如果你的密码本身就够强壮,你不能担心被破解
    网易后台能有登陆记录
    另外我改了密码了,防患于未然
    VmuTargh
        2
    VmuTargh  
    OP
       2015-10-19 21:20:52 +08:00 via Android
    @tntsec 刚才改密码前看了一下记录,上一次登录邮箱是 2 年前……所以没有问题,但是为了以防万一还是改了密码,另外看现在泄露的情况,网易没有加盐,直接暴力破解一下子一大串……
    tntsec
        3
    tntsec  
       2015-10-19 21:23:19 +08:00
    @VmuTargh 看乌云报道,是加盐的。不然也不用爆破,直接登录就行了
    而且肯定是加盐的,哪有直接存明文的, CSDN 除外
    15 位以上带符号密码基本没有破解的可能性
    imnpc
        4
    imnpc  
       2015-10-19 21:23:26 +08:00
    目前看泄漏的是 md5
    还好网易的早就不是主邮箱了....
    gmail 开了 2 次验证 勉强能安全点吧
    VmuTargh
        5
    VmuTargh  
    OP
       2015-10-19 21:24:36 +08:00 via Android
    @tntsec 那就不清楚了,但是密码是 7 位数字加 5 位纯小写……理论上破解难度很大,但是刚才被吓得不轻直接加了一位小写字母……
    VmuTargh
        6
    VmuTargh  
    OP
       2015-10-19 21:25:42 +08:00 via Android
    @imnpc gmail 我也不用的,主力是 2 个 yandex 邮箱
    Luzifer
        7
    Luzifer  
       2015-10-19 21:26:14 +08:00
    我都忘记用这货注册了那些服务。麻痹的,整一晚上了。
    tntsec
        8
    tntsec  
       2015-10-19 21:26:37 +08:00
    @VmuTargh 15 位以下的数字,字母大小写早被跑干净了。
    zander
        9
    zander  
       2015-10-19 21:27:08 +08:00
    @tntsec 登录记录屁用没有, 163 邮箱 SMTP/POP3/IMAP 默认开启,走这些协议的不会留下记录。
    VmuTargh
        10
    VmuTargh  
    OP
       2015-10-19 21:28:25 +08:00 via Android
    @tntsec 算了,再加几个俄文字母好了……
    imnpc
        11
    imnpc  
       2015-10-19 21:30:02 +08:00
    顺便说下
    目前还是有明文保存密码的要求
    不过一般是只读性质放在内网
    不清楚有多少这样要求的
    不过国内的页游公司都有这要求
    maroon
        12
    maroon  
       2015-10-19 21:30:17 +08:00
    网易邮箱不能改手机号也特么太 sb 了
    dalaomj
        13
    dalaomj  
       2015-10-19 21:30:43 +08:00
    @tntsec 早期的互联网,都和 CSDN 一样。明文或简单 MD5 。 CSDN 在泄漏之前已经不是明文了,但架不住已经泄漏的老数据在黑产圈传播,然后某一天就抖给公众了
    zangbob
        14
    zangbob  
       2015-10-19 21:30:54 +08:00
    上次 CSDN 导致丢了一个网易邮箱后,就不敢用了。

    虽然保留了一个帐户,也是通过软件生成的超长密码。刚才又顺手去改了一下……
    Zzzzzzzzz
        15
    Zzzzzzzzz  
       2015-10-19 21:33:05 +08:00
    有清单还好,我这边用了十四年网易邮箱, 注册的东西数不清了, 已经懒得改了 ( T﹏T )
    VmuTargh
        16
    VmuTargh  
    OP
       2015-10-19 21:34:39 +08:00 via Android
    @zangbob 现在就是怕很多绑定在网易邮箱的其他邮箱密码被波及…… 5e 的数量肯定是波及到一部分了,刚才和贴吧里头某只水羊羊谈到这个问题瞬间惊悚了……
    dalaomj
        17
    dalaomj  
       2015-10-19 21:38:35 +08:00
    简单的 md5 加密? 过去泄漏->现在解密(一般的库,彩虹表暴破,破解率已超过 95%)
    现在很难破解的加密方式?封存数据->未来解密
    安全这事,只能尽力。没有绝对。
    cxbig
        18
    cxbig  
       2015-10-19 21:41:53 +08:00
    现在针对 MD5 的彩虹表已经很齐全了,最快速度改密码和问答还是有必要的。
    Zzzzzzzzz
        19
    Zzzzzzzzz  
       2015-10-19 21:43:05 +08:00
    突然想起一件事, 网易除了自己做邮箱以外, 也销售邮箱解决方案, 这次要是邮箱方面程序出问题导致的数据泄漏, 那问题大了。
    miyuki
        20
    miyuki  
       2015-10-19 22:00:04 +08:00 via Android
    俄文 2333
    Andy1999
        21
    Andy1999  
       2015-10-19 22:02:35 +08:00 via iPhone
    @tntsec MD5
    nikubenki
        22
    nikubenki  
       2015-10-19 22:03:33 +08:00 via iPhone
    @VmuTargh yandex 邮箱怎么样,我一直用他们家的浏览器
    VmuTargh
        23
    VmuTargh  
    OP
       2015-10-19 22:04:13 +08:00 via Android
    @miyuki github 支持俄文……刚才试过了,顺便说一下,我网易邮箱的密码修改完登录不上去……果然是出问题……
    VmuTargh
        24
    VmuTargh  
    OP
       2015-10-19 22:06:03 +08:00 via Android
    @nikubenki 很不错,有时候会误 spam ,垃圾邮件识别还是挺准,之前 qq 一大堆垃圾邮件还有病毒邮件 yandex 里一个也看不到……
    jings
        25
    jings  
       2015-10-19 22:50:21 +08:00
    @tntsec
    2 位 UTF-32 的 unicode 码 就够受的。
    量子计算机真正应用前 密码还能正常存活多久?
    hinate
        26
    hinate  
       2015-10-19 22:52:04 +08:00 via Android
    还好我最开始用的 gmail ,反正现在也不好登录,放心!
    ys0290
        27
    ys0290  
       2015-10-19 23:15:55 +08:00 via iPhone
    已在中国雅虎死掉前连续奋战多日将各网站绑定邮箱换到域名邮箱下
    kmahyyg
        28
    kmahyyg  
       2015-10-19 23:18:07 +08:00
    16 位剧复杂随机密码路过……
    visonnn
        29
    visonnn  
       2015-10-19 23:38:18 +08:00
    自己把密保问题答案给忘了 233333

    改都改不了
    VmuTargh
        30
    VmuTargh  
    OP
       2015-10-19 23:51:23 +08:00 via Android
    @visonnn 还好我绑定了另外的邮箱,刚才已经改完了一部分
    liyvhg
        31
    liyvhg  
       2015-10-19 23:55:46 +08:00
    @nikubenki 邮件秒推到手机(安卓手机客户端没有运行的情况下)应该是走的 GCM
    Orzzzz
        32
    Orzzzz  
       2015-10-20 00:03:31 +08:00
    你这个,逻辑有漏洞,这裤子爆出来不是一两天了,非得前几天账号沦陷?就这么巧?

    另外这么多账号同一个密码,我也是醉了, lastpass 是干啥的?
    irainsoft
        33
    irainsoft  
       2015-10-20 00:09:50 +08:00
    先找能找到的社工库查你邮箱 把需要的网站密码改了
    binghe
        34
    binghe  
       2015-10-20 00:40:26 +08:00
    还好我每次登陆都需要手机验证码认证才可以。不过我还有哪些密码和网易一样的,我现在一下子也想不起来了。。。
    binghe
        35
    binghe  
       2015-10-20 00:43:26 +08:00
    @Zzzzzzzzz 我也差不多,已经完全记不清用网易注册了多少东西。。。。
    sogisha
        36
    sogisha  
       2015-10-20 00:59:57 +08:00   ❤️ 1
    @jings 仍然有量子计算机解决不了的密码算法。

    例如,量子计算机虽然很快,但是爆破散列的速度也只是将 256 比特的散列降低到 128 比特( SHA512 降低到 SHA256 还是很安全的)。然后,用散列就可以构建公钥签名算法(如 MSS 算法)。

    能抗量子计算机的公钥加密算法也是有的。例如 NTRUEncrypt 。
    tusj
        37
    tusj  
       2015-10-20 09:02:20 +08:00 via Smartisan T1
    @tntsec 大哥,你是不是没有理解什么叫加盐啊?
    tntsec
        38
    tntsec  
       2015-10-20 09:13:40 +08:00
    @tusj 本来我说哈希,他一说加盐我也加盐了。。看报道就是 MD5 没加盐
    pljhonglu
        39
    pljhonglu  
       2015-10-20 10:07:54 +08:00
    目前来看泄露的是密文,应该不是撞库出来的。
    重要网站密码还是 3 个月改一次比较安全~
    kiwi95
        40
    kiwi95  
       2015-10-20 10:11:34 +08:00
    应该有加盐吧,出了这么多事故,如果加盐都不做,真是太懒了
    zhangxiaoman
        41
    zhangxiaoman  
       2015-10-20 10:22:45 +08:00
    我特么做个自己的小 demo 的登录都是 sha256 +salt + md5 ..

    233333
    zjuster
        42
    zjuster  
       2015-10-20 12:04:17 +08:00
    密码要独立独立独立。重要的事情说三遍。
    jyf007
        43
    jyf007  
       2015-10-20 12:22:59 +08:00 via Android
    墙内包括你站都是弱密码。
    Feiox
        44
    Feiox  
       2015-10-20 14:20:18 +08:00
    如果采用 1024 位的哈希加盐,使用彩虹表爆破应该是没有希望了吧 ~

    但,我 TM 真的见过明文存密码的 ~ 有些小公司真的是够了
    jasonding
        45
    jasonding  
       2015-10-20 14:25:17 +08:00
    12+数字加字母大小写,暴力破解要好久
    yuanzz
        46
    yuanzz  
       2015-10-20 16:46:57 +08:00
    如果真的是加盐,就没这么多丢 iCloud 帐号的了。
    VmuTargh
        47
    VmuTargh  
    OP
       2015-10-20 17:50:25 +08:00 via Android
    @Orzzzz 账号沦陷倒没有,但是已经从 7 年前形成的习惯……很难掰过来, lastpass 是一个和 1p 相似的提供密码在线存储的服务
    Clarencep
        48
    Clarencep  
       2015-10-20 18:59:26 +08:00
    @tntsec “网易泄漏的是哈希密文,如果你的密码本身就够强壮,你不能担心被破解 ” -- 这个和你本身的密码强度其实关系不是太大,还是要看运气。比如你起了个长达 20 位的包含了各种特殊字符的密码 A ,网易存的是 B=md5(A),但是如果 cracker 刚好用一个很短的 C 达成了 md5(C) = B ,那么他就完全可以用 C 作为密码登录你的账户....
    killerv
        49
    killerv  
       2015-10-20 20:33:41 +08:00
    @zjuster 但是要想都记住不容易啊
    Orzzzz
        50
    Orzzzz  
       2015-10-20 21:35:02 +08:00
    @VmuTargh 额……我的意思是说,你直接用 lastpass 管理密码不就好了吗……我一直用他们的服务,很赞。
    jings
        51
    jings  
       2015-10-20 22:41:22 +08:00
    @sogisha 我只是在装逼,然而你竟然回了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3260 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 00:42 · PVG 08:42 · LAX 16:42 · JFK 19:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.