数据库被脱库，为什么密码会泄露？

2018-08-30 13:48:35 +08:00

zinplus

最近华住酒店数据库泄露，但是看到暗网上售卖的信息居然还包括账户的登陆密码。联想到以前几次脱库，比如之前网易 163 邮箱被脱，也是让大家更改密码。可是身份信息也就罢了，为什么登陆密码也会泄露呢？难道现在还有明文储存密码的公司吗？

可能这个问题有点蠢，请问有了解的 v 友吗。

10816 次点击

所在节点

程序员

37 条回复

bubuyu

2018-08-30 13:52:46 +08:00

因为很多人都用同样的密码

p2pCoder

2018-08-30 13:54:03 +08:00

暴力破解

nl101531

2018-08-30 13:54:59 +08:00

据说弱密码 000000，123456，666666，888888，这四个密码可以破解中国 30%的银行卡密码。

f2f2f

2018-08-30 13:55:11 +08:00

社工库啊

A555

2018-08-30 13:56:25 +08:00

简单的哈希彩虹表对照就能知道，然后就是撞库

yksoft1

2018-08-30 14:01:00 +08:00

你看了放出来那些验证数据么？没加盐。

Tianao

2018-08-30 14:01:11 +08:00

「难道现在还有明文储存密码的公司吗」
是的，还有很多。

不过包括本案在内的大多数密文密码遭解密都是依靠彩虹表、反哈希运算实现的。

R18

2018-08-30 14:01:43 +08:00

@nl101531 弱密码是禁止设置的

NotNil1

2018-08-30 14:06:01 +08:00

@R18 弱密码虽然是禁止设置的，但是下发的卡初始密码可能就是这些，比如农村养老金，补助发放，保险缴款等银行卡，初始密码就是 123123，或者 123456，你不改其实也没有明确限制你不可用，所以还是客观存在的。

indev

2018-08-30 14:06:37 +08:00

再怎么说也要简单加密一下吧，还是用第三方登录会方便些。
另外推荐一个密码管理的小东东：(Lesspass)[https://github.com/lesspass/lesspass]，不是那个 Lastpass。还有它的 (cli)[https://github.com/lesspass/lesspass/tree/master/cli] 也挺好用，再也不用担心使用弱密码了，也不用费心什么同步的问题

solomensec

2018-08-30 14:11:40 +08:00

是个人信息泄漏，不是密码，密码有什么用。

WuwuGin

2018-08-30 14:14:30 +08:00

很多国产框架对密码的处理就是 md5

yoqu

2018-08-30 15:07:34 +08:00

因为有门学科叫做社会工程学

ClutchBear

2018-08-30 15:16:19 +08:00

因为常用的密码的 md5 都被算出来了,
根据这个 md5 值反向查找就行了啊.

xuanbg

2018-08-30 15:17:26 +08:00

很多人(包括我自己)在各大网站的密码都是一样的，如果有个网站被脱了裤，不幸密码还是明文存储的，那么别的网站的密码也就泄露了。

helionzzz

2018-08-30 15:35:27 +08:00

当然也有可能这个账户就是一个新建的

lasuar

2018-08-30 18:38:43 +08:00

你奢望酒店，饭店，便利店，超市有多安全的 IT 服务？

MonoLogueChi

2018-08-30 18:58:38 +08:00

拖库，撞库，彩虹表

UnluckyNinja

2018-08-30 19:15:26 +08:00

记得好像密码泄露是说数据库本身后台的密码？

Hconk

2018-08-30 19:29:02 +08:00

mysql5 没加盐，弱密码彩虹表可破

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/484542

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.