阿里云会不会随意获取用户数据库密码？

我有一个 redis 数据库开放外网，今天收到条短信说我的数据库密码是弱密码。虽然加了星号，但可以通过前后确定是我的密码。问题来了，阿里云 or 监管部门是如何得知我的密码？直接扫了我的配置文件 or 暴力端口试密码？虽然我的密码不是大小写一堆字符的强密码，但至少也是 15 位的字母数字组合，也不是简单的那种。

opengps

2020-12-16 20:09:52 +08:00

我以前常用的 Admin.123 ，大小写数字字符都具备吧，上个月一台新买的客户测试机刚因此中了病毒，因为这个密码其实很多人都在用

weifan

2020-12-16 21:55:31 +08:00

WC，上面的人真的是骨子里就想着怎么监控别人...

azh7138m

2020-12-17 01:52:10 +08:00

一般是弱口令扫到了。。。。
我的 ssh 是 1w+ 端口，每天也被扫无数遍密码
fail2ban 日志都快要吃满硬盘了

akira

2020-12-17 03:02:15 +08:00

redis 端口开放外网。。你也是心大。。
通过你的描述，个人猜测事情流程是这样的
国家某安全部门通过批量扫描，发现了某台服务器的 redis 端口暴露在公网，然后随便试了几个密码进去了。再然后就是通知服务器服务商，通知到对应的用户。

nuk

2020-12-17 04:13:48 +08:00

密码是阿里拿到的，然后要上报监管部门，监管部门统一管理密码。
监管部门会花时间去扫描服务器？你想太多了，微信还说不保存聊天记录呢。
密码法的根本原则不记得了？

johnjiang85

2020-12-20 23:44:47 +08:00

这种扫描一般不会拿明文扫的，一般是用泄露库的密码尝试登陆，或者自己使用泄漏库的密码按照业务的加密规则（如最简单的加盐摘要）运算后再和存储的加密密码对比，大公司现在基本很少存明文密码的，当然肯定还是有不少公司会存。

mytsing520

2020-12-25 01:51:17 +08:00

弱口令
互联网已知的泄漏的密码拿来做猜解

上面都算是字典的方式。。。

方式有很多，不一定是服务商嗅探密码

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/736098

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.