也許是最近的工作內(nèi)容和用戶系統(tǒng)接觸的比較多,突然想到了一件細(xì)思恐極的事情汉买。
今天我在數(shù)據(jù)庫里檢索我們游戲用戶信息表的時(shí)候,發(fā)現(xiàn)用戶的注冊(cè)用戶名佩脊,密碼是全部可以就這么明明白白的用SQL文查詢到的蛙粘,沒錯(cuò),所有的人的用戶名威彰,密碼出牧,我是看的明明白白~而當(dāng)時(shí)恰好某人推薦了我一款外賣的app,我正在注冊(cè)賬號(hào)歇盼,當(dāng)要輸入注冊(cè)密碼的時(shí)候舔痕,腦海里突然聯(lián)想到了數(shù)據(jù)庫中那明明白白的賬號(hào)密碼。我就在想豹缀,如今是互聯(lián)網(wǎng)時(shí)代伯复,每個(gè)人一定都注冊(cè)了無數(shù)個(gè)賬號(hào)在各個(gè)網(wǎng)站,手機(jī)app邢笙,那么這些人的用戶信息不就很可能會(huì)讓像我這樣有數(shù)據(jù)庫操作權(quán)限的程序員看到了嗎啸如,而且,大多數(shù)人可能在注冊(cè)各種網(wǎng)站氮惯,app時(shí)出于方便很可能用的是同一套用戶名叮雳,密碼想暗,那么如果這個(gè)程序員用這個(gè)用戶名密碼去各大網(wǎng)站,游戲债鸡,app里去登錄實(shí)驗(yàn)江滨,我想總有能夠登錄成功的吧。所以想想確實(shí)是細(xì)思恐極啊~畢竟像我這樣有正義感的程序員可不是那么多的(偷笑~)
但是很快厌均,我也在想唬滑,是不是自己想多了,用戶名棺弊,密碼并不是這么容易得到的東西晶密,于是帶著這個(gè)疑問去請(qǐng)教了師父,哈模她,反倒是被師父笑話了稻艰,說我怎么這么晚才想到這一點(diǎn)。是啊侈净,作為一個(gè)程序員早該考慮到這點(diǎn)尊勿。師父便讓我去搜索下什么叫撞庫攻擊。搜索之后才明白畜侦,我之前的猜想的的確確存在元扔,諸如之前csdn,12306旋膳,甚至網(wǎng)易都發(fā)生過用戶信息泄露的事情澎语。而這個(gè)撞庫攻擊,需要用戶提高自己的信息安全意識(shí)來和互聯(lián)網(wǎng)公司共同防御验懊。但是很快師父告訴我也不必太過驚慌擅羞,因?yàn)檎?guī)的大公司在用戶名密碼入數(shù)據(jù)庫時(shí)是不允許使用明文方式存入的,應(yīng)當(dāng)使用單向加密方式(注意是單向义图,即只能加密减俏,不可解密,就是為了防止動(dòng)機(jī)不良的程序員解密獲取用戶信息)碱工,網(wǎng)絡(luò)消息的傳遞過程中也應(yīng)當(dāng)加密娃承。我相信國內(nèi)的互聯(lián)網(wǎng)巨頭,銀行系統(tǒng)應(yīng)當(dāng)是有這個(gè)安全意識(shí)的痛垛。但是這就有一個(gè)疑問草慧,其他的互聯(lián)網(wǎng)公司是否有這樣的安全意識(shí)呢桶蛔?用戶自己又不知道自己所注冊(cè)的這個(gè)app的開發(fā)公司是否使用了這種方式入庫匙头。而且現(xiàn)如今大部分app在注冊(cè)時(shí)都是以手機(jī)號(hào)作為用戶名的,為什么現(xiàn)在手機(jī)垃圾短信這么多仔雷,確實(shí)很有可能是一些無良互聯(lián)網(wǎng)公司私自將手機(jī)號(hào)販賣給第三方蹂析。更甚者就如我前面所想的那樣舔示,直接查看自家數(shù)據(jù)庫獲取用戶的用戶名密碼去嘗試在其他app登錄。說到這里电抚,你心里也許有些害怕惕稻,不過不必太過擔(dān)心,同時(shí)這里我得為支付寶說句話蝙叛,至少像支付寶這樣如果是不同設(shè)備登錄俺祠,異地登錄都會(huì)重新發(fā)短信驗(yàn)證給手機(jī),安全措施還是比其他app強(qiáng)不少借帘,可能畢竟是和財(cái)務(wù)相關(guān)的app的原因吧蜘渣。而且其實(shí)不少和財(cái)務(wù)相關(guān)的app在安全這方面還是做了不少的。至于如果你發(fā)現(xiàn)自己的和財(cái)務(wù)相關(guān)的app沒有在這方面處理的很好的話肺然,我個(gè)人還是不建議使用蔫缸。
說了這么多,也許前面提到的一些含有一些技術(shù)名詞在里面的東西可能不是從事IT相關(guān)工作的人不是很懂际起,但不要緊拾碌。下面我按照簡(jiǎn)單的方式推薦大家注意好以下這一點(diǎn)就好了:盡量不要將和自己財(cái)物相關(guān)的密碼和其他app的密碼設(shè)置成一樣的。這樣就可以很大程度上避免那些獲取了你其他網(wǎng)站注冊(cè)賬號(hào)密碼來嘗試登錄你其他賬號(hào)的風(fēng)險(xiǎn)~
要說的就這么多街望,如今是信息時(shí)代校翔,希望大家能夠提高自己的信息安全意識(shí)。
