新西兰天维网社区

标题: 国内软件开发门户网站CSDN 600万密码泄露了！ [打印本页]

作者: Venox10111 时间: 2011-12-22 00:05:10 标题: 国内软件开发门户网站CSDN 600万密码泄露了！

密码文件已经下载了，如果有哪位朋友想知道密码有没有泄露可以写上uid或email, 或者pm我。。。
已经证实真实性了！

作者: miaomeow 时间: 2011-12-22 00:32:12

什么密码啊？

没明白

作者: Venox10111 时间: 2011-12-22 00:42:24

miaomeow 发表于 2011-12-22 00:32
什么密码啊？

没明白

网站登录帐户

作者: Lilac 时间: 2011-12-22 00:43:33

我想知道微博的密码在里面吗？

作者: miaomeow 时间: 2011-12-22 00:54:31

Venox10111 发表于 2011-12-22 00:42
网站登录帐户

什么网站啊？？？

可以说说么？我上的国内网站有限

有没有银行网站？

作者: Venox10111 时间: 2011-12-22 00:56:32

miaomeow 发表于 2011-12-22 00:54
什么网站啊？？？

可以说说么？我上的国内网站有限

软件开发者常去的，如果和其它帐户是一致的就有问题

作者: newmike 时间: 2011-12-22 00:59:43

本帖最后由 newmike 于 2011-12-22 01:06 编辑

泄漏的是明码还是Hash码?

上百度搜了下，居然真是明码！CSDN的开发组都是什么水平啊！

作者: Venox10111 时间: 2011-12-22 01:04:24

newmike 发表于 2011-12-22 00:59
泄漏的是明码还是Hash码?

明码，可怕吧

作者: 小沫 时间: 2011-12-22 01:28:20

提示: 作者被禁止或删除内容自动屏蔽

作者: nanaBB 时间: 2011-12-22 07:29:34

要这些密码干嘛...

作者: VB 时间: 2011-12-22 08:00:15

提示: 作者被禁止或删除内容自动屏蔽

作者: Corec 时间: 2011-12-22 08:40:55

http://www.iteye.com/news/23781 应该基本解决了，密码都重置了

作者: Zidane 时间: 2011-12-22 08:43:35

一直以为csdn很不错, 怎么会犯这种低级的错误. 现在51cto在国内, 可以拿下半壁江山了.

作者: 某人的马甲 时间: 2011-12-22 08:52:33

法科，真尼玛讽刺

作者: 某人的马甲 时间: 2011-12-22 08:55:27

怎么没查到我自己的？难道没全公布？

作者: 陪你去看毛新宇 时间: 2011-12-22 09:17:41

明码，太2了

作者: hitye 时间: 2011-12-22 09:25:45

　无所谓了，哥不做it好多年了

作者: Venox10111 时间: 2011-12-22 10:21:04

就算是md5破解也太简单了

作者: hopeman 时间: 2011-12-22 18:08:39

Venox10111 发表于 2011-12-22 10:21
就算是md5破解也太简单了

如何简单啊?

要不我给个md5你算一下, 看看如何简单, MD5是可以破戒,但也谈不上容易吧?

作者: hopeman 时间: 2011-12-22 18:14:37

就给一个随便打字出来的MD5

$1$zfs.$oBwXwmQpAnzfO7iYXHN3d/

cisco 的

高人请解, 太简单的话, 五分钟够了吧

作者: newmike 时间: 2011-12-22 21:59:38

破解MD5是否简单，这是主观问题。
MD5是否安全，这是客观问题。

连MD5都不用，这是什么性质的问题？

MD5 Exploit Potentially Compromises SSL Security

作者: Venox10111 时间: 2011-12-23 12:06:09

本帖最后由 Venox10111 于 2011-12-23 12:10 编辑

hopeman 发表于 2011-12-22 18:14
就给一个随便打字出来的MD5

$1$zfs.$oBwXwmQpAnzfO7iYXHN3d/

这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了
md5查询示例
http://www.md5decrypter.co.uk/
md5生成
http://www.md5hashgenerator.com/index.php

you can try it yourself

作者: Venox10111 时间: 2011-12-23 12:07:41

newmike 发表于 2011-12-22 21:59
破解MD5是否简单，这是主观问题。
MD5是否安全，这是客观问题。

说的没错，现在不是说加的密安全不安全的问题，当然只要是加密，就有可能解密
现在是根本就是明文600万个账号。。。

作者: kingslander 时间: 2011-12-23 12:43:17

提示: 作者被禁止或删除内容自动屏蔽

作者: 陪你去看毛新宇 时间: 2011-12-23 12:52:55

Venox10111 发表于 2011-12-23 12:06
这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了

反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力破解。所谓的难度降低只是降低所需时间的数量级。
至于容易，看对谁而言，也许国家机器来说容易。个人还是洗洗睡。

作者: Venox10111 时间: 2011-12-23 13:02:38

陪你去看毛新宇发表于 2011-12-23 12:52
反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力 ...

所以在这里密码强度就有好的体现了。
问题不在这，问题在于CSDN根本没加密。。。

作者: hopeman 时间: 2011-12-23 13:36:25

陪你去看毛新宇发表于 2011-12-23 12:52
反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力 ...

谢谢这位朋友替我打字了

哪位编程高手请多多研究一下

作者: hopeman 时间: 2011-12-23 13:39:36

Venox10111 发表于 2011-12-23 12:06
这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了

你还是看看md5 hash 的资料再说, 谢谢

http://www.cisco.com/en/US/tech/ ... 86a00809d38a7.shtml

If the digit is a 5, the password has been hashed using the stronger MD5 algorithm.

For example, in the configuration command:

enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.

The enable secret has been hashed with MD5, whereas in the command:

作者: hopeman 时间: 2011-12-23 13:52:04

那个网站看来跟csdn一样业余, 把Cisco 的MD5 hash 说成不是正确的MD5 HASH

看来还是骗了不少人, 让人真以为破MD5是一件容易的事情

作者: Venox10111 时间: 2011-12-23 15:13:20

本帖最后由 Venox10111 于 2011-12-23 15:19 编辑

hopeman 发表于 2011-12-23 13:52
那个网站看来跟csdn一样业余, 把Cisco 的MD5 hash 说成不是正确的MD5 HASH

看来还是骗了不少人, 让人真以 ...

CISCO md5 has seems to be different to the general MD5 hash (hence, it can be more scure in that way, it's type5)

Like what above floor mentioned, it is using a bruteforce way of matching and solving the MD5 cash called collision method. It is easy, if you have millions of password which majority of them are not high-strength password.

there's a tool for that and I havn't personally tried
http://membres.multimania.fr/mdcrack/

Don't get so "HOT" about when I am saying it's "EASY", I am merely saying, for that case, with million of user account leaked, even the password are encoded in general MD5(like what they do in this BBS) it's relatively "EASY" to retrive most of it

作者: starcub 时间: 2011-12-23 21:29:24

本帖最后由 starcub 于 2011-12-23 21:31 编辑

Venox10111 发表于 2011-12-23 12:06
这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了

这明显是MD5... 这是Unix shadow password format...

$1$ 代表 MD5 algorithm...
第二个$到第三个$之间是salt...
第三个$之后是MD5...

salt之后的MD5,反查起来很难...

作者: starcub 时间: 2011-12-23 21:35:05

本帖最后由 starcub 于 2011-12-23 21:35 编辑

Corec 发表于 2011-12-22 08:40
http://www.iteye.com/news/23781 应该基本解决了，密码都重置了

问题不是csdn自己的问题...
问题是很多人用同样的用户名,同样的密码在其他网站...

csdn自己把屁股擦干净了,用户倒霉了...

我在host file里加了句... 127.0.0.1 csdn.com 跟csdn说拜拜了...

作者: 呵呵 时间: 2011-12-23 21:47:53

MD5想要暴力破解，配置要求很高的，不容易

作者: John.G 时间: 2011-12-24 00:38:53

CSDN 很垃圾。。。N久不用CSDN了。。。。

欢迎光临新西兰天维网社区 (http://bbs.skykiwi.com/)