數千萬(wàn)用戶(hù)密碼遭泄露 金山推出密碼安全鑒定器

發(fā)布時(shí)間:2011-12-23 13:57    發(fā)布者:1046235000
近期,有黑客入侵了CSDN等一些國內的大型網(wǎng)站,造成大量網(wǎng)民用戶(hù)名密碼可能被泄露。此工具用于檢查您的賬號是否在本次泄漏文件中,由于您可能在很多地方使用了同一密碼,如果查出密碼已被泄露后,請盡快進(jìn)行修改密碼,以免造成不必要的損失。

訪(fǎng)問(wèn):密碼安全鑒定器


此工具使用的數據來(lái)源于互聯(lián)網(wǎng)。
本文地址:http://selenalain.com/thread-84426-1-1.html     【打印本頁(yè)】

本站部分文章為轉載或網(wǎng)友發(fā)布,目的在于傳遞和分享信息,并不代表本網(wǎng)贊同其觀(guān)點(diǎn)和對其真實(shí)性負責;文章版權歸原作者及原出處所有,如涉及作品內容、版權和其它問(wèn)題,我們將根據著(zhù)作權人的要求,第一時(shí)間更正或刪除。
1640190015 發(fā)表于 2011-12-26 08:54:59
修改密碼的那點(diǎn)事兒

2011年歲末先后爆出CSDN、天涯等站點(diǎn)的用戶(hù)明文密碼泄漏,大家紛紛忙著(zhù)修改密碼,不少網(wǎng)站也通過(guò)在網(wǎng)頁(yè)醒目位置發(fā)布公告或發(fā)送郵件提醒告知用戶(hù)及時(shí)修改自己的密碼以確保賬戶(hù)安全。對網(wǎng)站而言,希望用戶(hù)能夠定期主動(dòng)去修改密碼并保證一定的復雜度;但對用戶(hù)來(lái)說(shuō),一般不到萬(wàn)不得已,通常不會(huì )經(jīng)常修改密碼。同樣是表單,注冊表單的產(chǎn)品設計大家常討論,那么修改密碼的表單設計及整體體驗有是如何?
一、大型門(mén)戶(hù) 1. 網(wǎng)易通行證


表單中的每個(gè)輸入框均會(huì )給出有效性反饋,新密碼的復雜度要求一直顯示在輸入框下方,并需要填寫(xiě)驗證碼(英文+數字,不區分大小寫(xiě))。
另:界面上有一處“>”字符漏出,應是缺陷。
2. 搜狐通行證


界面中提示了當前用戶(hù)名;當焦點(diǎn)在輸入框中時(shí),跟隨輸入框在其后提示密碼復雜度要求的說(shuō)明信息;驗證碼為小寫(xiě)英文+數字。

二、SNS社區
1. 人人網(wǎng)


在本次觀(guān)察中人人網(wǎng)的密碼修改流程相對顯得比較特殊,它在修改密碼之前,給出了“身份驗證”的這一步,提供了驗證舊密碼、向注冊郵箱發(fā)送密碼重置郵件、賬號申訴三種方式。它對用戶(hù)的指引更為明確,當用戶(hù)在長(cháng)時(shí)間記住密碼后遺忘了密碼,則能直接通過(guò)發(fā)送郵件的方式進(jìn)行密碼修改,而不必退出登錄后再走取回密碼的流程。
2. 天涯社區


輸入舊密碼后,會(huì )實(shí)時(shí)檢查是否正確;焦點(diǎn)從輸入框中移開(kāi)后會(huì )檢查有效性;焦點(diǎn)在新密碼的輸入框中時(shí),會(huì )提示密碼的復雜度要求(強制要求字母與數字組合);比較奇怪的是,為何這句“輸入6-16位的字母和數字的組合,密碼區分大小寫(xiě)”會(huì )始終顯示在驗證碼輸入框的下方——這句話(huà)所針對的表單項對象究竟是新密碼還是驗證碼?這是一處不必要的困擾。
3. 豆瓣網(wǎng)


豆瓣網(wǎng)的密碼修改界面很簡(jiǎn)單,甚至有些簡(jiǎn)陋——沒(méi)有表單項的有效性驗證,甚至連密碼長(cháng)度的說(shuō)明都沒(méi)有給出!爱斍懊艽a”與“新口令”的文案區別不知是否可以為之,個(gè)人認為還是統一為密碼比較好,雖然口令更顯Geek。
4. Facebook


Facebook在界面中并未給出密碼輸入的說(shuō)明;對當前密碼項的為空時(shí)沒(méi)有提醒;當新密碼太短或太簡(jiǎn)單時(shí)會(huì )給出提醒;也會(huì )提示重復輸入密碼與新密碼是否匹配。
三、微博
1. 新浪微博


提醒界面上以紅色高亮的方式告知用戶(hù)密碼安全的重要性;焦點(diǎn)移開(kāi)時(shí)表單項會(huì )進(jìn)行有效性驗證;特別給出安全強度標尺再次提醒用戶(hù)使用高強度的密碼;焦點(diǎn)選中時(shí),會(huì )提示用戶(hù)密碼的長(cháng)度說(shuō)明。
2. Twitter


當表單項為空時(shí)不會(huì )給出提示;同Facebook一樣,在新密碼太短或過(guò)于簡(jiǎn)單時(shí)會(huì )給出提示;舊密碼如果錯誤,點(diǎn)擊“Change”后會(huì )在頁(yè)面頂端顯示,與全站的統一反饋提示一致;需要留意的是,Twitter在修改密碼的界面給出了取回密碼的入口,點(diǎn)擊后會(huì )進(jìn)入輸入郵箱取回密碼的頁(yè)面,這一點(diǎn)與人人網(wǎng)相類(lèi)似。
四、搜索引擎
1. 百度


表單項沒(méi)有有效性驗證,給出了密碼長(cháng)度等的說(shuō)明,看下來(lái)這是一個(gè)比較標準并傳統的密碼修改界面。
2. Google


Google在驗證當前信息時(shí),可以選擇輸入舊密碼或密碼提醒問(wèn)題的答案;新密碼的強度都會(huì )給出提示,“Password strength”上附鏈接,點(diǎn)擊后新窗口彈出 Password Help 頁(yè)面,告知用戶(hù)如何設定一個(gè)安全的密碼;重復輸入密碼時(shí)不會(huì )實(shí)時(shí)檢查與新密碼的匹配。
五、電子商務(wù)網(wǎng)站
1. 支付寶


支付寶賬戶(hù)中,同時(shí)有登錄與支付兩種密碼,修改操作基本相同;它是這次體驗過(guò)程中,唯一將修改密碼的操作放置在浮動(dòng)層中進(jìn)行的網(wǎng)站;在浮動(dòng)層中,給出了密碼安全提示說(shuō)明;表單項均無(wú)有效性驗證提示;當用戶(hù)開(kāi)通了數字證書(shū)而當前瀏覽器不支持時(shí),可以通過(guò)綁定的手機進(jìn)行校驗。
2. 京東商城


焦點(diǎn)移開(kāi)時(shí),會(huì )對表單項有效性進(jìn)行驗證提醒;重復輸入密碼時(shí)也會(huì )檢查是否與新密碼一致;個(gè)人并不贊同在已紅色高亮的警示性文案后面再使用感嘆號,以避免給用戶(hù)造成過(guò)大的心理壓力。
3. 攜程網(wǎng)


表單項焦點(diǎn)移開(kāi)時(shí),會(huì )做有效性驗證;當表單填寫(xiě)不正確時(shí),將輸入框紅色高亮,而提示文字使用了相對弱的黃色背景呈現出來(lái);密碼強度通過(guò)圖形標識來(lái)提醒用戶(hù)。
在看了以上國內外13個(gè)大型網(wǎng)站的密碼修改界面之后,我們可以發(fā)現:
  • 密碼強度的設定,與網(wǎng)站業(yè)務(wù)息息相關(guān),通常網(wǎng)站中出現與錢(qián)相關(guān)的業(yè)務(wù)(如網(wǎng)絡(luò )游戲等)時(shí),對密碼的復雜度會(huì )有強制性的要求;支付寶等甚至會(huì )設定登錄密碼與支付密碼,并兩者不能相同。
  • 對于舊密碼的驗證,通常只驗證是否為空,而不會(huì )對正確性做實(shí)時(shí)校驗;
  • 對新密碼的強度,多數網(wǎng)站均會(huì )給出明確說(shuō)明以降低用戶(hù)的困擾;
  • 多數網(wǎng)站,均會(huì )特別提醒用戶(hù)新密碼中需要區分大小寫(xiě)字母;
  • 13個(gè)案例中,除了豆瓣網(wǎng)之外,均會(huì )對新密碼與重復輸入的新密碼之間做匹配校驗;
  • 有3個(gè)網(wǎng)站在修改密碼時(shí)需填寫(xiě)驗證碼,個(gè)人更希望將這一步放在幕后——系統智能判斷哪些情況下需要通過(guò)驗證碼進(jìn)行增強驗證,而不是簡(jiǎn)單地一刀切;
  • 在修改密碼的界面上,同時(shí)告知用戶(hù)一些必要的密碼安全信息,是必要的;
  • Google、Twitter與人人網(wǎng)的案例,告訴我們修改密碼的流程不是僵硬不變,并不一定要通過(guò)舊密碼來(lái)校驗用戶(hù)——這對常常使用“記住我”的用戶(hù)來(lái)說(shuō),無(wú)疑是一個(gè)便利;
  • 在界面設計上,警示性提示的呈現,需要我們在提醒用戶(hù)與不冒犯用戶(hù)加以平衡:紅色高亮、紅叉圖標、驚嘆號、輸入框高亮等方法中選用哪些,值得考量;
  • 大多數網(wǎng)站對登錄及通行證信息的修改均使用了SSL進(jìn)行加密。
作者/恍惚之中
1640190015 發(fā)表于 2011-12-26 09:03:31
[快訊]天涯4000萬(wàn)用戶(hù)明文密碼泄漏


@烏云-漏洞報告平臺密碼事件的延續,是一個(gè)不好的消息,但知道真相總不知道要好 天涯社區4000W用戶(hù)明文密碼泄漏
據天涯網(wǎng)相關(guān)負責人介紹,此次遭到黑客泄漏的用戶(hù)便是2009年11月升級密碼保存方式之前所注冊的用戶(hù),據悉,天涯網(wǎng)目前共有6000萬(wàn)注冊用戶(hù),而此次泄漏的用戶(hù)數量達到總數的60%以上。

在得知用戶(hù)隱私遭黑客泄漏以后天涯網(wǎng)已經(jīng)啟動(dòng)應急預案,通過(guò)站內短信、Email等一切有效聯(lián)系手段通知用戶(hù)盡快修改個(gè)人密碼,同時(shí)也已經(jīng)向公安機關(guān)進(jìn)行了報案。
DoNews 12月25日消息(記者 盧林嘉)繼12月22日國內最大的開(kāi)發(fā)者社區CSDN.NET的用戶(hù)密碼遭到黑客泄漏之后,25日下午國內知名的社區網(wǎng)站天涯網(wǎng)的用戶(hù)隱私也遭到黑客泄漏,據了解此次被泄漏用戶(hù)數量達到4000萬(wàn)。
25日下午有網(wǎng)友向DoNews爆料稱(chēng)國內知名社區網(wǎng)站天涯網(wǎng)被黑客攻擊,有4000萬(wàn)用戶(hù)的密碼遭到黑客泄漏,與之前CSDN被泄漏的信息一樣,天涯被泄漏的用戶(hù)密碼全部以明文方式保存,但是數量之大的確令人乍舌。
記者在第一時(shí)間與天涯網(wǎng)取得聯(lián)系,據天涯網(wǎng)相關(guān)負責人介紹,由于歷史原因,天涯社區早期使用過(guò)明文密碼,2009年11月修改了密碼保存方式,改成了加密密碼,但部分老的明文密碼未被清理。此次遭到黑客泄漏的用戶(hù)便是2009年11月升級密碼保存方式之前所注冊的用戶(hù),據悉,天涯網(wǎng)目前共有6000萬(wàn)注冊用戶(hù),而此次泄漏的用戶(hù)數量達到總數的60%以上。
天涯強調,2011年5月12日天涯網(wǎng)升級改造了天涯社區用戶(hù)賬號管理功能,使用了強加密算法,解決了天涯社區用戶(hù)賬號的各種安全性問(wèn)題。
據了解,在得知用戶(hù)隱私遭黑客泄漏以后天涯網(wǎng)已經(jīng)啟動(dòng)應急預案,通過(guò)站內短信、Email等一切有效聯(lián)系手段通知用戶(hù)盡快修改個(gè)人密碼,同時(shí)也已經(jīng)向公安機關(guān)進(jìn)行了報案。(完)
附天涯社區致歉信:
尊敬的天涯社區用戶(hù):
我們非常抱歉地通知您,近日由于遭受黑客攻擊,有多家網(wǎng)站的部分用戶(hù)數據庫外泄,天涯也是受害網(wǎng)站之一。為確保您的隱私及帳戶(hù)安全,在此,我們懇請您盡快修改天涯社區相關(guān)帳戶(hù)的密碼。請點(diǎn)擊以下鏈接重設密碼:http://passport.tianya.cn/fp/fp.jsp
如果您在其他網(wǎng)站也使用同一密碼,請務(wù)必同時(shí)修改更新。
目前天涯社區已向公安機關(guān)報案,公安機關(guān)也正在調查相關(guān)線(xiàn)索。
再次向您致以深深的歉意!
關(guān)于天涯社區用戶(hù)賬號被泄露的聲明:
由于歷史原因,天涯社區早期使用過(guò)明文密碼,此次被盜的數據為2009年之前的備份數據。2010年之后,我們升級改造了天涯社區用戶(hù)賬號管理功能,使用了強加密算法,解決了天涯社區用戶(hù)賬號的各種安全性問(wèn)題。
如果我的天涯社區帳號已經(jīng)被盜怎么辦?
1、使用取回密碼功能,通過(guò)注冊郵箱、認證手機或申訴的方式取回密碼。
2、撥打我們的7*24小時(shí)客服電話(huà)0898-68582666,由客服人員進(jìn)行驗證之后取回密碼。
以上轉自DoNews:www.donews.com/original/201112/1044644.shtm


缺陷編號: WooYun-2011-03772
漏洞標題: 天涯社區4000萬(wàn)用戶(hù)資料
相關(guān)廠(chǎng)商: 天涯社區
漏洞作者: Snow
提交時(shí)間: 2011-12-25
公開(kāi)時(shí)間: 2011-12-25
漏洞類(lèi)型: 用戶(hù)資料大量泄漏
危害等級:
自評Rank: 10
漏洞狀態(tài): 未聯(lián)系到廠(chǎng)商或者廠(chǎng)商積極忽略
漏洞來(lái)源: http://www.wooyun.org
Tags標簽: 敏感信息未加密存儲
漏洞詳情
簡(jiǎn)要描述:
天涯社區4000萬(wàn)用戶(hù)資料泄露 賬號密碼郵箱明文保存,經(jīng)驗證為有效數據,從一些途徑得知目前已經(jīng)擴散,請廣大用戶(hù)和企業(yè)做好應急響應處理
詳細說(shuō)明:
天涯社區4000萬(wàn)用戶(hù)資料泄露 賬號密碼郵箱明文保存
下載地址:(已幫原作者做隱藏處理)
漏洞證明:




修復方案:
廣大用戶(hù)速度更改密碼吧
版權聲明:轉載請注明來(lái)源 Snow@烏云
漏洞回應廠(chǎng)商回應:
未能聯(lián)系到廠(chǎng)商或者廠(chǎng)商積極拒絕
漏洞Rank:20 (WooYun評價(jià))

更多被披露的圖片:

@延朗不是延郎


@調調熊


@小咸魚(yú)兒


@結婚了沒(méi)


@小貓跑得快
您需要登錄后才可以發(fā)表評論 登錄 | 立即注冊

關(guān)于我們  -  服務(wù)條款  -  使用指南  -  站點(diǎn)地圖  -  友情鏈接  -  聯(lián)系我們
電子工程網(wǎng) © 版權所有   京ICP備16069177號 | 京公網(wǎng)安備11010502021702
快速回復 返回頂部 返回列表
午夜高清国产拍精品福利|亚洲色精品88色婷婷七月丁香|91久久精品无码一区|99久久国语露脸精品|动漫卡通亚洲综合专区48页