系統與平台安全 回到資安Q&A
Q
請問網站中的會員帳號密碼資料要如何確保安全?
最近許多網站都傳出會員資料被外洩。請問網站要如何設計才能確保安全,以及如何盡量做到避免會員帳號密碼被工具破解?
提問者: Zadn 提問時間: 01/31/2012
A
值班醫師回應

近來發生一些大型網站服務的帳號與密碼外洩,也引發不少網站安全的討論,在網站設計與實務上究竟要怎麼做才算安全?而不是宣稱上的假安全,從幾個面向來看網站安全,包含程式與平台兩個面向。其中程式的部分,可以包含程式邏輯、忘記密碼的重置方法(這邊如果可以查到原始密碼,表示密碼儲存應該是用明文而非雜湊值)、安全問題、鎖定上網裝置、圖像辨認與異常使用偵測,還有在運作中權限跳脫、不同的ID切換至不同的個人資料、存取控制、身分與連線管理等,可以相對地解決不同的安全問題根源。當然別忘記還有OWASP Top 10中的輸入輸出驗證防止SQLi,XSS等項目,在此就不一一細數。平台安全面上,要注意的是網站平台組態安全(參數設定)、修補管理以及防止或減輕DDoS的攻擊成功效果,這是平台安全上要處理的問題。




日前大陸許多論壇、網站的用戶資料外洩,大家所關注的在於基本上使用雜湊值來儲存密碼,是必要的而非選項,另外也有美國的線上購物網站Zappo,雖然他們密碼有hash,但它們還是要求用戶全部要上網更新,要求使用者重新設定密碼,這是非常正確的作法。原因不外乎拿到雜湊值的駭客可以用工具計算後破解之,另外也可以使用彩虹表(rainbow table)方式用空間換取時間的查表方式快速破解。密碼採用HASH方式保存,一般採用MD5或SHA-1,在程式設計上均有對應的函數可以使用,沒有難度。但是,雜湊值如果被拿走,表示就有機會被破解,尤其是密碼過於簡單的根本就是秒殺。企業可以考慮把資料庫中的密碼資料表格用讀取限制禁止短時間內的大量取用,亦可要求用戶固定時間內要更換密碼或使用時驗證帳號相關資訊,均可以從其他角度來保障用戶帳戶的安全。


對於一般大眾而言,除了固定時間變更密碼外,在不同的網站勿使用相同的密碼與帳號,而變更密碼時應於乾淨的上網環境中為之,可以考慮使用LiveCD類型的光碟開機還境,也不會剛換密碼駭客馬上又知道新的密碼。

資安急診室醫師介紹
資安鑑識專家
10年資安鑑識經驗
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字