黑客是如何偷的?
　　
　　即使這些用戶(hù)名和密碼已經(jīng)沒(méi)有利用價(jià)值，即使這些密碼現在成為茶余飯后的笑談，不少人還是很好奇黑客究竟怎么去刷庫的，尤其是偷取一個(gè)知名IT社區的數據庫，這更像是一種赤裸裸的挑釁。
　　
　　龔蔚解釋稱(chēng)，數據庫被盜完全是出在網(wǎng)站自身的環(huán)節上，只要整個(gè)網(wǎng)站中有任何一個(gè)漏洞，都能通過(guò)這個(gè)漏洞通向核心的數據庫。這好比“木桶原理”，“任何一個(gè)短板都會(huì )決定你的最終水位，任何一個(gè)環(huán)節有問(wèn)題都可以導致數據庫被盜。”
　　
　　簡(jiǎn)單而言，用戶(hù)在登錄網(wǎng)站輸入密碼時(shí)，通常含有密碼的數據會(huì )傳回數據庫進(jìn)行比對，這些數據早在用戶(hù)第一次注冊時(shí)就已存在，并且通常是以加密的方式存儲。
　　
　　拋開(kāi)此前的明文密碼不談，目前的密碼數據庫均是通過(guò)哈希函數的方式進(jìn)行加密，存儲的數據是用戶(hù)密碼的哈希值。
　　
　　但是哈希函數并非萬(wàn)無(wú)一失，兩個(gè)不同的密碼可能哈希值會(huì )一樣，這種情況被成為“碰撞”，而這正是黑客用來(lái)竊取數據庫獲得信息的途徑。
　　
　　龔蔚稱(chēng)，目前的加密算法，即哈希函數都是公開(kāi)的，除非自己設計一個(gè)很好的能夠避免出現“碰撞”的哈希算法，否則現有的大眾哈希函數都可以通過(guò)“碰撞”的方式進(jìn)行破解。
　　
　　為什么有些網(wǎng)站對于數據庫泄露并不擔心，因為這些網(wǎng)站認為自己的數據庫是經(jīng)過(guò)加密的，即使你拿到了數據庫，如果無(wú)法通過(guò)哈希算法解開(kāi)數據庫，也無(wú)濟于事。
　　
　　如果設計出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫，這些都是常用密碼所對應的哈希值，一旦有密碼數據庫泄露，黑客就會(huì )比對其中的哈希值與手中的碰撞庫，如果匹配成功，就能找到用戶(hù)的原始密碼。
　　
　　龔蔚表示，可以將偷取的過(guò)程形容為四個(gè)過(guò)程：第一是否能進(jìn)得來(lái);第二個(gè)是就算進(jìn)得來(lái)，但能否看得見(jiàn);第三是就算看得見(jiàn)核心數據，但能否拿得走;最后一步是就算能偷取整個(gè)數據庫，但最終能否解得開(kāi)。
　　
　　雖然目前公開(kāi)的明文密碼已經(jīng)沒(méi)有利用價(jià)值，但通常而言，刷庫只是黑客產(chǎn)業(yè)鏈中的一部分，接下來(lái)還有“洗庫”，即對數據庫中的資源進(jìn)行層層利用。龔蔚介紹，這個(gè)產(chǎn)業(yè)鏈價(jià)值比較大的是，第一波進(jìn)行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶(hù)的賬號后就會(huì )進(jìn)入賬戶(hù)嘗試，如果有虛擬金錢(qián)就會(huì )轉走，或將QQ號倒賣(mài);第二次“洗”是對于個(gè)人信息的收集，有些賬戶(hù)可能包括個(gè)人信息內容，這些會(huì )賣(mài)給那些需要的人;第三次“洗”是關(guān)聯(lián)手機號的信息，賣(mài)給轉發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價(jià)值為止。
　　
　　“刷庫和洗庫的分工很明確，洗庫的人不會(huì )去刷卡，而且有專(zhuān)人負責對于各類(lèi)不同賬號的嘗試，例如有人擅長(cháng)操作QQ等。”龔蔚說(shuō)道。
　　
　　一旦黑客手中的用戶(hù)庫頗具規模后，就可以分析用戶(hù)。萬(wàn)濤稱(chēng)，由于人的習慣性因素，密碼不可能改來(lái)改去，總有一些關(guān)聯(lián)，當有了用戶(hù)資源后，可以生產(chǎn)字典，用于“暴力”破解。
　　
　　“網(wǎng)站也不知漏洞何在”
　　
　　讓人不安的是，即使包括天涯和CSDN在內的社區都已提醒用戶(hù)修改密碼，但對黑客而言，用戶(hù)如何修改密碼并非關(guān)鍵，黑客的目標在于網(wǎng)站的數據庫，無(wú)論用戶(hù)密碼是什么，一旦通過(guò)“碰撞”破解哈希函數，那用戶(hù)再怎樣修改密碼也是無(wú)用功。
　　
　　掌控權并非在用戶(hù)手中，而且到目前為止上述網(wǎng)站也沒(méi)有公布到底是哪個(gè)環(huán)節出了問(wèn)題。
　　
　　龔蔚認為，沒(méi)有公布原因就意味著(zhù)網(wǎng)站自己也不知道哪里出了問(wèn)題，“好比你錢(qián)包被偷了，但是不知道是在哪里被偷的，只知道買(mǎi)一個(gè)新的錢(qián)包，并稱(chēng)更安全。”
　　
　　萬(wàn)濤透露，數年前曾爆發(fā)過(guò)多起數據庫被刷庫的事件，只是由于網(wǎng)絡(luò )傳播力度不如現在，知道的人并不多，且對于一個(gè)發(fā)生過(guò)拖庫的網(wǎng)站而言，說(shuō)不定已經(jīng)被人植入木馬或者留下后門(mén)還不知道。
　　
　　但為何這些網(wǎng)站還是沒(méi)有吸取同行的教訓?龔蔚表示，大型網(wǎng)站往往為了搶占用戶(hù)資源而過(guò)快擴張，例如各個(gè)門(mén)戶(hù)網(wǎng)站的微博，這些都可能會(huì )留下遺留癥。萬(wàn)濤稱(chēng)，門(mén)戶(hù)網(wǎng)站對于安全的態(tài)度取決于用戶(hù)對它的價(jià)值，門(mén)戶(hù)網(wǎng)站在安全上的確投入很多，但一般都是保證內容不被篡改。
　　
　　“舊債總是要還的。”萬(wàn)濤說(shuō)，很難讓一項業(yè)務(wù)在沒(méi)掙錢(qián)的情況下去付出更多的安全成本，這是目前安全文化的一個(gè)狀況，不僅僅是IT行業(yè)。
　　
　　此次的用戶(hù)信息泄露更像是對實(shí)名制的一種挑戰。萬(wàn)濤認為，目前整個(gè)法律體系根本不適應互聯(lián)網(wǎng)的發(fā)展，尤其是在目前的體系下，把實(shí)名制寄托給運營(yíng)商有很大問(wèn)題，“過(guò)分強調實(shí)名制是有風(fēng)險的，目前對它的風(fēng)險估計不足。”
　　
　　【明文密碼】
　　
　　簡(jiǎn)單來(lái)說(shuō)，明文密碼就是沒(méi)有隱藏、顯而易見(jiàn)的密碼，與之相對的是暗碼，或稱(chēng)密文密碼，指的是系統收到你的密碼后，通過(guò)某種加密算法進(jìn)行編譯后，對編譯結果進(jìn)行保存。如果你的密碼為12345，則明文密碼顯示為12345，暗碼顯示為*****。如果告訴你*****而不告訴你解碼規則，你就很難翻譯出12345。
　　
　　【專(zhuān)家支招】
　　
　　一、經(jīng)常更換密碼;二、網(wǎng)站登錄密碼要區別于注冊郵箱密碼，以免被黑客登錄郵箱，暴露更多個(gè)人信息;三、重要網(wǎng)站采用賬戶(hù)安全保護;四、涉及到銀行或其他金融類(lèi)的用戶(hù)名、密碼，要區別于一般網(wǎng)站的用戶(hù)名、密碼。
　　
　　重要性分級建議：網(wǎng)銀、網(wǎng)絡(luò )支付平臺(支付寶，財付通等)、QQ/微博/實(shí)名SNS網(wǎng)站、其他網(wǎng)站。