V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yasumoto
V2EX  ›  程序员

数据库用户密码基本算是明文 违规吗?

  •  1
     
  •   yasumoto · 2018-12-07 15:32:33 +08:00 · 4578 次点击
    这是一个创建于 2160 天前的主题,其中的信息可能已经有所发展或是发生改变。
    基于穷 接了个外包的活儿,发现用户的密码只是经过了 base64 编码,没有任何加密。

    其实想想挺可怕 可以拿手机号和密码去其他网址碰撞了....
    25 条回复    2018-12-07 20:35:36 +08:00
    qilishasha
        1
    qilishasha  
       2018-12-07 15:39:56 +08:00
    人生在世,不违本心即可为……但有时候,为了未来,放下吧
    Mac
        2
    Mac  
       2018-12-07 15:42:12 +08:00 via Android
    所以我们内部所有的密码都是 xxx94sb,xxx 代表你最讨厌的供应商✌(̿▀̿ ̿Ĺ̯̿̿▀̿ ̿)✌
    no1xsyzy
        3
    no1xsyzy  
       2018-12-07 15:42:51 +08:00
    为什么违规呢?
    除非自称符合 ISOxxxx 或者 GBxxxx 符合信息安全要求。
    否则 base64 或者明文有什么关系呢?

    况且 sqlmap 对简单 md5 等可以自动解密。
    ----
    当然,你要拿去试就违法了,别试
    WuwuGin
        4
    WuwuGin  
       2018-12-07 15:44:33 +08:00
    国家有法规定密码必须加密存储吗?但是是一个有点安全意识的人都不会这么做,说到底这行的门槛是很低,才导致这种问题出现的。
    zsy979
        5
    zsy979  
       2018-12-07 15:49:14 +08:00
    万一是故意这么存的...
    yasumoto
        6
    yasumoto  
    OP
       2018-12-07 15:52:40 +08:00
    @qilishasha
    @no1xsyzy 放心好了 我不会去试的 有感而发 现在这社会个人信息泄露是真的太严重了
    t6attack
        7
    t6attack  
       2018-12-07 15:55:20 +08:00
    没人规定明文储存密码是否违规。
    另外,如果网站想保留一份用户的明文密码,正确姿势是 2048 位 RSA 加密。私钥自己收好。
    littleylv
        8
    littleylv  
       2018-12-07 15:58:10 +08:00
    密码加密,只能是(极大程度上)防止被脱裤的时候让坏人知道密码。
    如果网站本身想使坏,想要知道用户输入了什么密码不是非常简单?
    maristie
        9
    maristie  
       2018-12-07 16:05:34 +08:00
    best practice 是加 salt 再 hash,不过国内这种小项目也没办法要求太多
    takato
        10
    takato  
       2018-12-07 16:09:34 +08:00
    澳大利亚新立法说,加密内容必须要能自由解密。。。
    t6attack
        11
    t6attack  
       2018-12-07 16:11:44 +08:00   ❤️ 1
    保存一份用户的明文密码有什么用?一个最缺德的玩法,就是破坏有竞争关系的同类网站。捣乱数据的同时,给对方贴上不安全的标签。
    早年国内各大比特币交易平台就有这么干的。互相之间,用自己用户的密码,去碰竞争对手网站,然后把币偷走。
    一方盗取了大量比特币,另一方面,沉重打击了竞争对手声誉。给其贴上“不安全” “丢币”的标签。
    最后所有平台,提币时都加入了手机验证过程。有个平台慢了一步,损失惨重。最终的结局就是关站跑路。
    Raymon111111
        12
    Raymon111111  
       2018-12-07 16:12:38 +08:00
    如果有法条的话拿出来看
    bluetata
        13
    bluetata  
       2018-12-07 16:14:21 +08:00
    明文存储不违法,违法的是明文存储信息泄露了
    honeycomb
        14
    honeycomb  
       2018-12-07 16:20:42 +08:00 via Android
    @yasumoto

    如果这个系统属于受到 GDPR 监管的情况时,那真的是违法了,会被罚得很惨。
    liuyanjun0826
        15
    liuyanjun0826  
       2018-12-07 16:22:34 +08:00 via Android
    其实你知道吗,在早年的互联网,都是 id 互相借用的,只是最近的小孩不知道而已,就像我们那代人从书本里错误地理解纳粹德国一样
    honeycomb
        16
    honeycomb  
       2018-12-07 16:26:17 +08:00 via Android
    @yasumoto knuddels 因为明文存储密码被罚了 2 万欧元
    BuilderQiu
        17
    BuilderQiu  
       2018-12-07 16:52:33 +08:00
    想起我前段时间补办了社保卡,拿到的密码函里面清清楚楚写着我原来社保卡的密码 ...
    是个常用的密码,赶紧把密码改了...
    lmmortal
        18
    lmmortal  
       2018-12-07 16:52:57 +08:00 via Android
    @WuwuGin 这个还真有的

    网络安全法第二十一条规定了重要数据要加密

    当然如果你说密码不是重要数据那我就无话可说了
    lmmortal
        19
    lmmortal  
       2018-12-07 16:55:12 +08:00 via Android
    @t6attack
    @bluetata
    网络安全法规定了运营者有义务加密重要数据,详情看第二十一条
    shejinimei
        20
    shejinimei  
       2018-12-07 16:57:26 +08:00
    这种只有在爆发泄露的时候 才会出问题
    ————————————————————————————————————————————————————
    https://www.61minutes.com/
    ylsc633
        21
    ylsc633  
       2018-12-07 16:58:13 +08:00
    这让我想起了 前段时间 我备案的事情!

    起因: 云服务从 阿里云 迁到 腾讯云
    但是域名是阿里云的!
    所以得重新备案!

    经过: gx 部会给我发个短信,然后去 gx 部网去验证啥的,然后我不知道这回事,收到了短信也不管,开始是腾讯云员工去试,后来发现不行后,打电话给我, 然后报出了我的 腾讯云的明文密码 说这个不是 gx 部备案密码,不给通过...

    恩!这个客服直接报出了我的密码.. 另外 这个客服 不知道 $ # 怎么读.....
    chinvo
        22
    chinvo  
       2018-12-07 17:00:08 +08:00 via iPhone
    这让我想起来前几天那个 base64 在线编码工具被一公司要求下架的帖
    chinvo
        23
    chinvo  
       2018-12-07 17:01:35 +08:00 via iPhone
    @ylsc633 #21 这个震惊了,@tencentcloud
    HFX3389
        24
    HFX3389  
       2018-12-07 17:42:56 +08:00   ❤️ 1
    根据《中华人民共和国网络安全法》
    第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

    (四)采取数据分类、重要数据备份和加密等措施;

    (五)法律、行政法规规定的其他义务。
    ------------
    第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
    iyangyuan
        25
    iyangyuan  
       2018-12-07 20:35:36 +08:00 via iPhone
    百分百忘记密码找回,不亏
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1012 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:12 · PVG 05:12 · LAX 13:12 · JFK 16:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.