容易被忽略的安全漏洞——明文存儲(chǔ)

大東：小白，節(jié)日快樂(lè)！

小白：嗯嗯，也祝全國(guó)大朋友小朋友節(jié)日快樂(lè)~~

大東：那好吧，今天收工~

小白：別啊，網(wǎng)安教育從娃娃抓起，廣大青少年網(wǎng)安愛好者正坐在小板凳等大東東講明文存儲(chǔ)呢。

一、事件始末

大東：今年3月份Facebook承認(rèn)存儲(chǔ)了多達(dá)6億個(gè)沒(méi)有加密的用戶賬戶密碼，并且可以作為純文本查看給成千上萬(wàn)的公司員工。

小白：不是1月份就發(fā)現(xiàn)了，怎么3月份才發(fā)布出來(lái)？

大東：Facebook安全負(fù)責(zé)人說(shuō)是因?yàn)樗麄儼l(fā)現(xiàn)這些明文的密碼并非是存儲(chǔ)在一個(gè)地方，因此很可能是多種問(wèn)題疊加導(dǎo)致的一個(gè)漏洞，問(wèn)題的分散性使得問(wèn)題的理解和解決變得更加復(fù)雜。Facebook不得不花了2個(gè)多月的時(shí)間來(lái)調(diào)查和解決這一問(wèn)題。

Facebook

小白：Fcaebook創(chuàng)始人兼CEO扎克伯格3月份才說(shuō)公司走私密社交的戰(zhàn)略方向，這么快就被打臉了。

大東：這6億用戶的密碼，除了Facebook員工以外的人是無(wú)法看到的。

小白：有說(shuō)服力嗎？你覺得我們會(huì)買賬嗎？

大東：確實(shí)，F(xiàn)acebook內(nèi)部員工能看到這些密碼也是一個(gè)重大的安全漏洞。

二、明文存儲(chǔ)

小白：什么是明文存儲(chǔ)呢？

大東：明文存儲(chǔ)就是在保存時(shí)為明文的密碼。具體是指保存密碼或網(wǎng)絡(luò)傳送密碼的時(shí)候，用的是沒(méi)有隱藏、直接顯示的明文字符，而不是經(jīng)過(guò)加密后的密文。

小白：可以再解釋的通俗易懂些嗎？

大東：那舉個(gè)例子吧，如密碼為123，那么密文密碼是，明文密碼則是123。

小白：明白。從信息安全的角度出發(fā)，任何網(wǎng)絡(luò)服務(wù)都不應(yīng)該保存或發(fā)送明文密碼。

大東：其實(shí)這種現(xiàn)象很多，不僅僅Facebook有這樣的漏洞。在2013年的時(shí)候，就有研究人員發(fā)現(xiàn)，Chrome的緩存機(jī)制通常會(huì)在你不知情或者未征求你同意的情況下在你的硬盤里明文存儲(chǔ)名字、郵箱地址、住址、手機(jī)號(hào)碼、銀行賬號(hào)、社保號(hào)碼、信用卡號(hào)等個(gè)人數(shù)據(jù)。

Chrome瀏覽器

小白：這會(huì)使得能夠訪問(wèn)你的電腦的人可以輕松看到或者復(fù)制所有的這些敏感個(gè)人數(shù)據(jù)。

大東：谷歌Chrome默認(rèn)存儲(chǔ)網(wǎng)頁(yè)格式數(shù)據(jù)，包括在安全網(wǎng)站上輸入的數(shù)據(jù)，以便在數(shù)據(jù)以后使用時(shí)自動(dòng)給出提示。被存儲(chǔ)的數(shù)據(jù)屬于未加密的文本，如果你的電腦或者硬盤被竊取或者感染惡意軟件，就可以被直接獲取。

小白：看來(lái)我需要定期清理Chrome緩存來(lái)保護(hù)個(gè)人隱私。

大東：Facebook原本應(yīng)該通過(guò)哈希算法并加鹽，甚至包括使用scrypt算法及加密密鑰來(lái)隱藏用戶密碼的，卻由于“一連串失當(dāng)?shù)男袨椤?，讓某些員工撰寫的命令行，可記錄用戶未經(jīng)加密處理的密碼，并讓這些數(shù)據(jù)以明文格式存儲(chǔ)。

小白：（舔嘴）加鹽？做飯呢？我餓了。。。

大東：想什么呢，加鹽加密是一種對(duì)系統(tǒng)登錄口令的加密方式，它實(shí)現(xiàn)的方式是將每一個(gè)口令同一個(gè)叫做”鹽“（salt）的n位隨機(jī)數(shù)相關(guān)聯(lián)。

小白：嘿嘿，原來(lái)是這個(gè)意思。

大東：這批數(shù)據(jù)雖然尚未外泄，而且迄今也沒(méi)有證據(jù)顯示內(nèi)部有人濫用或不當(dāng)訪問(wèn)，但這反應(yīng)出來(lái)的信息安全問(wèn)題必須重視。

小白：那企業(yè)該如何對(duì)用戶的密碼加密存儲(chǔ)呢？

大東：?jiǎn)柕暮?，今天我們專門請(qǐng)到了360安全專家楊卿來(lái)給你解答這個(gè)問(wèn)題。

小白：（鼓掌）哇，黑客男神！

三、專家如是說(shuō)

楊卿：企業(yè)對(duì)于用戶密碼如何加密存儲(chǔ)，可以參考Dropbox的三層加密機(jī)制。

小白：哪三層呢？

楊卿：首先，使用sha512，將用戶密碼歸一化為64字節(jié)hash值。因?yàn)閮蓚€(gè)原因：一個(gè)是Bcrypt算法對(duì)輸入敏感，如果用戶輸入的密碼較長(zhǎng)，可能導(dǎo)致Bcrypt計(jì)算過(guò)慢從而影響響應(yīng)時(shí)間；另一個(gè)是有些Bcrypt算法的實(shí)現(xiàn)會(huì)將長(zhǎng)輸入直接截?cái)酁?2字節(jié)，從信息論的角度講，這導(dǎo)致用戶信息的熵變小。

小白：聽上去就好高級(jí)。

楊卿：然后使用Bcrypt算法。選擇Bcrypt的原因，是Dropbox的工程師對(duì)這個(gè)算法更熟悉調(diào)優(yōu)更有經(jīng)驗(yàn)，參數(shù)選擇的標(biāo)準(zhǔn)，是Dropbox的線上API服務(wù)器可以在100ms左右的時(shí)間可計(jì)算出結(jié)果。另外，關(guān)于Bcrypt和Scrypt哪個(gè)算法更優(yōu)，密碼學(xué)家也沒(méi)有定論。同時(shí)，Dropbox也在關(guān)注密碼hash算法新秀Argon2，并表示會(huì)在合適的時(shí)機(jī)引入。

小白：第三層呢？

楊卿：最后使用AES加密。因?yàn)锽crypt不是完美的算法，所以Dropbox使用AES和全局密鑰進(jìn)一步降低密碼被破解的風(fēng)險(xiǎn)，為了防止密鑰泄露，Dropbox采用了專用的密鑰保存硬件。Dropbox還提到了最后使用AES加密的另一個(gè)好處，即密鑰可定時(shí)更換，以降低用戶信息/密鑰泄露帶來(lái)的風(fēng)險(xiǎn)。

小白：企業(yè)加密存儲(chǔ)對(duì)用戶密碼的安全性是一種保障，但相比于企業(yè)我還是更關(guān)心對(duì)于個(gè)人用戶，我們?cè)撊绾伪Ｗo(hù)我們的密碼安全呢？

楊卿：我們個(gè)人用戶在使用互聯(lián)網(wǎng)時(shí)首先要建立自己的密碼復(fù)雜體系，建議分為三級(jí)，分成與個(gè)人隱私信息和財(cái)產(chǎn)有關(guān)的核心密碼（用于各類網(wǎng)銀，社保等網(wǎng)絡(luò)平臺(tái)），與個(gè)人常用信息有關(guān)的一般密碼（用于各類信息，新聞等閱讀平臺(tái)），及用于日常賬號(hào)注冊(cè)且和上兩級(jí)密碼完全無(wú)關(guān)的無(wú)意義密碼（用于一些日常各類商戶的用戶注冊(cè)平臺(tái)，這類密碼機(jī)制也正在被一次性手機(jī)驗(yàn)證碼取代）。

小白：受教了，感謝楊卿專家給出的這么專業(yè)性的建議。

四、安全風(fēng)險(xiǎn)須知

小白：說(shuō)了這么多，如果這些系統(tǒng)的賬戶密碼明文存儲(chǔ)被泄露的話，會(huì)有什么風(fēng)險(xiǎn)呢？

大東：黑客可以進(jìn)行拖庫(kù)、撞庫(kù)、洗庫(kù)一系列操作，形成一個(gè)黑色產(chǎn)業(yè)鏈。

小白：一個(gè)個(gè)解釋一下吧。

大東：拖庫(kù)，本來(lái)是數(shù)據(jù)庫(kù)領(lǐng)域的專用語(yǔ)，指從數(shù)據(jù)庫(kù)中導(dǎo)出數(shù)據(jù)。而現(xiàn)在它被用來(lái)指網(wǎng)站遭到入侵后，黑客竊取數(shù)據(jù)庫(kù)的行為。

小白：那撞庫(kù)呢？

大東：撞庫(kù)就是使用大量的一個(gè)網(wǎng)站的賬號(hào)密碼，去另一個(gè)網(wǎng)站嘗試登陸。

小白：黑客拿著你的這些密碼去試你的其他賬戶，加密過(guò)的密碼也可以嗎？

大東：當(dāng)然，數(shù)據(jù)都能拖拽出來(lái)，你密碼還能解不開？

小白：那明文密碼豈不是更方便了黑客。

大東：沒(méi)錯(cuò)。洗庫(kù)是黑客入侵網(wǎng)站在取得大量的用戶數(shù)據(jù)之后，通過(guò)一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶數(shù)據(jù)變現(xiàn)。

小白：還真的是一條龍“服務(wù)”。

黑色產(chǎn)業(yè)鏈

大東：所以你要記住楊卿專家給出的專業(yè)性建議，對(duì)密碼隱私信息要有保護(hù)意識(shí)。

小白：必須牢牢記住，不說(shuō)了，我要趕緊修改密碼去了