CSDN產(chǎn)品總監(jiān)�、JavaEye(現(xiàn)更名為ITEye)創(chuàng)始人范凱(robbin)晚間更新了個人博客�,對大家關注的帳號密碼泄密事件進行了詳細解答,包含整個事件的來龍去脈�����,以及相關的帳戶安全性建議�。
CSDN網(wǎng)站早期使用明文是因為和一個第三方Chat程序整合驗證帶來的,后來的程序員始終未對此進行處理�����。一直到2009年4月當時的程序員修改了密碼保存方式,改成了加密密碼��。
在2010年JavaEye被CSDN收購���,范凱接手了CSDN產(chǎn)品部門和研發(fā)部門�����。在對整個CSDN網(wǎng)站產(chǎn)品線的梳理過程中,發(fā)現(xiàn)CSDN帳號的安全性仍存在潛在的問題:雖然密碼保存已經(jīng)修改為加密密碼�����,但老的保存過的明文密碼未清理;帳號數(shù)據(jù)庫運行在Windows Server上的SQL Server����,仍有被攻擊和掛馬的潛在危險,所以范凱立即要求程序員將所有明文密碼全部清空�����。
2010年9月范凱組建了新的研發(fā)團隊重寫CSDN用戶管理功能����,在《我來CSDN的這一年》 詳細介紹了改造CSDN帳號管理Passport的過程��。新的Passport產(chǎn)品在2011年元旦上線����,使用了SHA256算法+SALT加密��,帳號數(shù)據(jù)庫從Windows Server上的SQL Server遷移到了Linux平臺的MySQL數(shù)據(jù)庫�,解決了CSDN帳號的各種安全性問題。
以下是大家可能關心的問題:
一�、CSDN帳號數(shù)據(jù)庫是明文保存密碼嗎?
2009年4月之前是明文,2009年4月之后是加密的�����,但部分明文密碼未清理;2010年8月我來CSDN以后清理掉了所有明文密碼��。
二���、我的CSDN帳號是安全的嗎?需要修改密碼嗎?
如果你是2009年4月以前注冊的帳號����,且2010年9月之后沒有修改過密碼��,請立即修改密碼;
如果你是2009年4月以后注冊的帳號����,且2010年9月之后沒有修改過密碼��,建議修改密碼;
如果你是2010年9月以后注冊的帳號��,不必修改密碼�����,但郵箱有泄露可能性;
如果你是2011年1月以后注冊的帳號��,帳號,密碼和郵箱都非常安全;
三�����、CSDN帳號數(shù)據(jù)庫現(xiàn)在是安全的嗎?
歷史遺留的安全隱患從2011年元旦起已經(jīng)全部解決���。CSDN帳號數(shù)據(jù)庫已經(jīng)遷移到了Linux平臺上的MySQL數(shù)據(jù)庫���,進行了多方面的安全加固,密碼加密強度也很高�。
四、CSDN老的帳號數(shù)據(jù)庫是怎么泄露的?
目前泄露出來的CSDN明文帳號數(shù)據(jù)是2010年9月之前的數(shù)據(jù)����,其中絕大部分是2009年4月之前的數(shù)據(jù)���。因此可以判斷出來的泄露時間是在2010年9月之前。泄露原因不詳�,但是從互聯(lián)網(wǎng)運營角度來說,Windows和SQL Server的安全性是比較難保障的���,這也是為什么我改造passport要遷移到Linux平臺的主要原因����。
五�����、如果我的CSDN帳號已經(jīng)被盜怎么辦?
使用忘記密碼功能��,系統(tǒng)會重置密碼���,將新密碼發(fā)到你的注冊郵箱
給管理員發(fā)郵件����,請管理員幫助找回帳號
六����、我們將采取什么措施彌補此次問題?
我們將針對2010年9月之前的注冊用戶�����,提示修改密碼
我們將針對所有弱密碼用戶進行提示�����,要求用戶修改密碼
我們將對2010年9月之前所有注冊用戶群發(fā)Email提示用戶修改密碼
