首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉钩
V2EX  ›  程序员

数据库用户密码基本算是明文 违规吗?

  •  1
     
  •   yasumoto · 10 天前 · 2423 次点击
    基于穷 接了个外包的活儿,发现用户的密码只是经过了 base64 编码,没有任何加密。

    其实想想挺可怕 可以拿手机号和密码去其他网址碰撞了....
    25 回复  |  直到 2018-12-07 20:35:36 +08:00
        1
    qilishasha   10 天前
    人生在世,不违本心即可为……但有时候,为了未来,放下吧
        2
    Mac   10 天前 via Android
    所以我们内部所有的密码都是 xxx94sb,xxx 代表你最讨厌的供应商✌(̿▀̿ ̿Ĺ̯̿̿▀̿ ̿)✌
        3
    no1xsyzy   10 天前
    为什么违规呢?
    除非自称符合 ISOxxxx 或者 GBxxxx 符合信息安全要求。
    否则 base64 或者明文有什么关系呢?

    况且 sqlmap 对简单 md5 等可以自动解密。
    ----
    当然,你要拿去试就违法了,别试
        4
    WuwuGin   10 天前
    国家有法规定密码必须加密存储吗?但是是一个有点安全意识的人都不会这么做,说到底这行的门槛是很低,才导致这种问题出现的。
        5
    zsy979   10 天前
    万一是故意这么存的...
        6
    yasumoto   10 天前
    @qilishasha
    @no1xsyzy 放心好了 我不会去试的 有感而发 现在这社会个人信息泄露是真的太严重了
        7
    t6attack   10 天前
    没人规定明文储存密码是否违规。
    另外,如果网站想保留一份用户的明文密码,正确姿势是 2048 位 RSA 加密。私钥自己收好。
        8
    littleylv   10 天前
    密码加密,只能是(极大程度上)防止被脱裤的时候让坏人知道密码。
    如果网站本身想使坏,想要知道用户输入了什么密码不是非常简单?
        9
    maristie   10 天前
    best practice 是加 salt 再 hash,不过国内这种小项目也没办法要求太多
        10
    takato   10 天前
    澳大利亚新立法说,加密内容必须要能自由解密。。。
        11
    t6attack   10 天前   ♥ 1
    保存一份用户的明文密码有什么用?一个最缺德的玩法,就是破坏有竞争关系的同类网站。捣乱数据的同时,给对方贴上不安全的标签。
    早年国内各大比特币交易平台就有这么干的。互相之间,用自己用户的密码,去碰竞争对手网站,然后把币偷走。
    一方盗取了大量比特币,另一方面,沉重打击了竞争对手声誉。给其贴上“不安全” “丢币”的标签。
    最后所有平台,提币时都加入了手机验证过程。有个平台慢了一步,损失惨重。最终的结局就是关站跑路。
        12
    Raymon111111   10 天前
    如果有法条的话拿出来看
        13
    bluetata   10 天前
    明文存储不违法,违法的是明文存储信息泄露了
        14
    honeycomb   10 天前 via Android
    @yasumoto

    如果这个系统属于受到 GDPR 监管的情况时,那真的是违法了,会被罚得很惨。
        15
    liuyanjun0826   10 天前 via Android
    其实你知道吗,在早年的互联网,都是 id 互相借用的,只是最近的小孩不知道而已,就像我们那代人从书本里错误地理解纳粹德国一样
        16
    honeycomb   10 天前 via Android
    @yasumoto knuddels 因为明文存储密码被罚了 2 万欧元
        17
    BuilderQiu   10 天前
    想起我前段时间补办了社保卡,拿到的密码函里面清清楚楚写着我原来社保卡的密码 ...
    是个常用的密码,赶紧把密码改了...
        18
    lmmortal   10 天前 via Android
    @WuwuGin 这个还真有的

    网络安全法第二十一条规定了重要数据要加密

    当然如果你说密码不是重要数据那我就无话可说了
        19
    lmmortal   10 天前 via Android
    @t6attack
    @bluetata
    网络安全法规定了运营者有义务加密重要数据,详情看第二十一条
        20
    shejinimei   10 天前
    这种只有在爆发泄露的时候 才会出问题
    ————————————————————————————————————————————————————
    https://www.61minutes.com/
        21
    ylsc633   10 天前
    这让我想起了 前段时间 我备案的事情!

    起因: 云服务从 阿里云 迁到 腾讯云
    但是域名是阿里云的!
    所以得重新备案!

    经过: gx 部会给我发个短信,然后去 gx 部网去验证啥的,然后我不知道这回事,收到了短信也不管,开始是腾讯云员工去试,后来发现不行后,打电话给我, 然后报出了我的 腾讯云的明文密码 说这个不是 gx 部备案密码,不给通过...

    恩!这个客服直接报出了我的密码.. 另外 这个客服 不知道 $ # 怎么读.....
        22
    chinvo   10 天前 via iPhone
    这让我想起来前几天那个 base64 在线编码工具被一公司要求下架的帖
        23
    chinvo   10 天前 via iPhone
    @ylsc633 #21 这个震惊了,@tencentcloud
        24
    HFX3389   10 天前   ♥ 1
    根据《中华人民共和国网络安全法》
    第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

    (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

    (四)采取数据分类、重要数据备份和加密等措施;

    (五)法律、行政法规规定的其他义务。
    ------------
    第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
        25
    iyangyuan   9 天前 via iPhone
    百分百忘记密码找回,不亏
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3252 人在线   最高记录 4019   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 52ms · UTC 10:10 · PVG 18:10 · LAX 02:10 · JFK 05:10
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1