国内软件开发门户网站CSDN 600万密码泄露了！

Venox10111

密码文件已经下载了，如果有哪位朋友想知道密码有没有泄露可以写上uid或email, 或者pm我。。。
已经证实真实性了！

miaomeow

什么密码啊？

没明白

Venox10111

miaomeow 发表于 2011-12-22 00:32
什么密码啊？

没明白

网站登录帐户

Lilac

我想知道微博的密码在里面吗？

miaomeow

Venox10111 发表于 2011-12-22 00:42
网站登录帐户

什么网站啊？？？

可以说说么？我上的国内网站有限

有没有银行网站？

Venox10111

miaomeow 发表于 2011-12-22 00:54
什么网站啊？？？

可以说说么？我上的国内网站有限

软件开发者常去的，如果和其它帐户是一致的就有问题

newmike

泄漏的是明码还是Hash码?

上百度搜了下，居然真是明码！CSDN的开发组都是什么水平啊！

Venox10111

newmike 发表于 2011-12-22 00:59
泄漏的是明码还是Hash码?

明码，可怕吧

nanaBB

要这些密码干嘛...

Corec

http://www.iteye.com/news/23781  应该基本解决了，密码都重置了

Zidane

一直以为csdn很不错, 怎么会犯这种低级的错误. 现在51cto在国内, 可以拿下半壁江山了.

某人的马甲

法科，真尼玛讽刺

某人的马甲

怎么没查到我自己的？难道没全公布？

陪你去看毛新宇

明码，太2了

hitye

　无所谓了，哥不做it好多年了

Venox10111

就算是md5破解也太简单了

hopeman

Venox10111 发表于 2011-12-22 10:21
就算是md5破解也太简单了

如何简单啊?

要不我给个md5你算一下, 看看如何简单, MD5是可以破戒,但也谈不上容易吧?

hopeman

就给一个随便打字出来的MD5

$1$zfs.$oBwXwmQpAnzfO7iYXHN3d/

cisco 的

高人请解,  太简单的话,  五分钟够了吧

newmike

破解MD5是否简单，这是主观问题。
MD5是否安全，这是客观问题。

连MD5都不用，这是什么性质的问题？

MD5 Exploit Potentially Compromises SSL Security

Venox10111

hopeman 发表于 2011-12-22 18:14
就给一个随便打字出来的MD5

$1$zfs.$oBwXwmQpAnzfO7iYXHN3d/

这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了
md5查询示例
http://www.md5decrypter.co.uk/
md5生成
http://www.md5hashgenerator.com/index.php

you can try it yourself

Venox10111

newmike 发表于 2011-12-22 21:59
破解MD5是否简单，这是主观问题。
MD5是否安全，这是客观问题。

说的没错，现在不是说加的密安全不安全的问题，当然只要是加密，就有可能解密
现在是根本就是明文600万个账号。。。

陪你去看毛新宇

Venox10111 发表于 2011-12-23 12:06
这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了

反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力破解。所谓的难度降低只是降低所需时间的数量级。
至于容易，看对谁而言，也许国家机器来说容易。个人还是洗洗睡。

Venox10111

陪你去看毛新宇 发表于 2011-12-23 12:52
反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力 ...

所以在这里密码强度就有好的体现了。
问题不在这，问题在于CSDN根本没加密。。。

hopeman

陪你去看毛新宇 发表于 2011-12-23 12:52
反向查询是基于字典的，字典里没有是没有办法查询出来的。
另外目前的解密也是基于碰撞。实质上还是暴力 ...

谢谢这位朋友替我打字了

哪位编程高手请多多研究一下

hopeman

Venox10111 发表于 2011-12-23 12:06
这个是MD5 hash? 貌似不是吧

MD5 hash 只要反查询就可以了

你还是看看md5 hash 的资料再说, 谢谢

http://www.cisco.com/en/US/tech/ ... 86a00809d38a7.shtml

If the digit is a 5, the password has been hashed using the stronger MD5 algorithm.

For example, in the configuration command:

enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.

The enable secret has been hashed with MD5, whereas in the command:

hopeman

那个网站看来跟csdn一样业余, 把Cisco 的MD5 hash 说成不是正确的MD5 HASH

看来还是骗了不少人, 让人真以为破MD5是一件容易的事情

Venox10111

hopeman 发表于 2011-12-23 13:52
那个网站看来跟csdn一样业余, 把Cisco 的MD5 hash 说成不是正确的MD5 HASH

看来还是骗了不少人, 让人真以 ...

CISCO md5 has seems to be different to the general MD5 hash (hence, it can be more scure in that way, it's type5)

Like what above floor mentioned, it is using a bruteforce way of matching and solving the MD5 cash called collision method. It is easy, if you have millions of password which majority of them are not high-strength password.

there's a tool for that and I havn't personally tried
http://membres.multimania.fr/mdcrack/

Don't get so "HOT" about when I am saying it's "EASY", I am merely saying, for that case, with million of user account leaked, even the password are encoded in general MD5(like what they do in this BBS) it's relatively "EASY" to retrive most of it