CSDN及人人網(wǎng)的用戶密碼分析.doc

CSDN及人人網(wǎng)的用戶密碼分析本周，互聯(lián)網(wǎng)上的一大新聞就是：多個(gè)知名網(wǎng)站被脫庫，上千萬用戶資料側(cè)漏。對俺這種長期在安全圈混的人，自然最關(guān)心泄漏出來的用戶口令啦。這可是活生生的第一手材料啊。今天正好周末，俺就抽空分析了一下CSDN和RenRen的用戶密碼。畢竟這兩個(gè)網(wǎng)站名氣大，CSDN可以代表技術(shù)人員的圈子，人人網(wǎng)的用戶據(jù)說高校學(xué)生居多。考慮到俺博客的讀者不少，或許有些人熱衷于網(wǎng)絡(luò)安全，沒準(zhǔn)也對密碼分析感興趣，干脆就把分析結(jié)果分享到博客上。對于CSDN被泄露的600多萬用戶數(shù)據(jù)，俺多羅嗦幾句：據(jù)CSDN官方的說法，這僅僅是2009年的數(shù)據(jù)。不過，據(jù)圈內(nèi)的小道消息，其實(shí)黑客拿到了所有用戶數(shù)據(jù)，這次只是公布了其中一部分。俺查了一下公布的數(shù)據(jù)，里面沒有俺的帳號可是俺 program_think 這個(gè)帳號在2009年1月份就在CSDN注冊了。另外，里面也沒有劉未鵬同學(xué)的帳號（pongba）他更加是CSDN的老用戶了。而有些網(wǎng)友是2010年注冊的帳號，卻出現(xiàn)在公布的數(shù)據(jù)中。所以，CSDN官方的說法很可疑。樣本的說明CSDN的樣本，總共是3列數(shù)據(jù)，分別是用戶名、口令、郵箱。格式比較嚴(yán)謹(jǐn)，所有數(shù)據(jù)都可用。數(shù)據(jù)量大約是642萬8千。RenRen的樣本，總共2列，分別是用戶名（同時(shí)也是郵箱）和口令。此樣本的格式不太嚴(yán)謹(jǐn)。俺去掉了大約3萬無效數(shù)據(jù)（比如用戶名不是合法的郵箱地址），還剩大約473萬5千。密碼長度分布長度范圍CSDN (%)RenRen (%)1,61.9231.897,1290.8065.8613,187.171.7019, 0.210.55長度CSDN (%)RenRen (%)50.513.1061.2925.2870.2618.11836.3820.17924.1412.011014.487.34119.786.79點(diǎn)評：（從平均水平看）CSDN用戶的密碼長度顯然大于人人網(wǎng)用戶。密碼類型分布類型CSDN (%)RenRen (%)純數(shù)字45.0152.97純小寫字母11.6419.96點(diǎn)評：純數(shù)字的口令，比例太高，不是好現(xiàn)象。對于同樣長度的口令，純小寫字母相比純數(shù)字，其組合的可能性更多，更難暴力破解。使用手機(jī)作密碼 CSDN (%)RenRen (%)手機(jī)號2.18(約14萬)2.91(約13萬8)點(diǎn)評：作為口令的手機(jī)號，多半就是本人的手機(jī)號。手機(jī)的穩(wěn)定性遠(yuǎn)高于電子郵箱。因此，這個(gè)信息的價(jià)值還是挺大滴。如果有人想搜羅手機(jī)號的話，這下可有福了。使用生日作密碼日期格式CSDN (%)RenRen (%)YYMMDD0.143.59YYYYMMDD5.92(38萬)2.67MMDDYYYY0.060.11YYYY-MM-DD小于0.01小于0.01YYYY.MM.DD小于0.01小于0.01YYYY/MM/DD小于0.010點(diǎn)評：用生日做口令，表面上看，位數(shù)還挺多（少的有6位，多的有8位，加分隔符的話甚至有10位）。但其實(shí)這種口令很弱。因?yàn)榭赡艿纳諅€(gè)數(shù)是很有限的生日通常分布在1940年以來大約是36570=25550。即便算上不同的格式，也就十多萬種。如果是程序來窮舉，用不了一柱香的功夫。密碼和用戶名相關(guān)類型CSDN (%)RenRen (%)直接拿用戶名做密碼4.55(約29萬2)0.04密碼包含用戶名0.25小于0.01密碼是用戶名的一部分2.04(約13萬1)1.57點(diǎn)評：很奇怪，CSDN居然有這么多人拿用戶名作口令，比例遠(yuǎn)遠(yuǎn)高于人人網(wǎng)用戶。這有點(diǎn)不合邏輯啊。用英文單詞作密碼俺拿四級詞匯作為字典，測試了一番。比例如下：CSDN (%)RenRen (%)0.110.19點(diǎn)評：兩個(gè)網(wǎng)站的比例都不算高，表揚(yáng)一下。順便說一下，在作密碼的單詞里，排名第一的是 password。這個(gè)習(xí)慣跟老外是一致的。用數(shù)字作密碼前面給出的按類型統(tǒng)計(jì)中，純數(shù)字的比例是很高的。純數(shù)字密碼，常見的組合有如下。類型CSDN (%)RenRen (%)1234567893.91(約25萬1)0.72(約3萬4)123456783.31(約21萬2)0.25(約1萬2)1234567小于0.010.11(約5千)1234560.03(約2千)3.73(約17萬7)12345小于0.010.31(約1萬5)全是00.65(約4萬2)0.61(約2萬9)全是11.41(約9萬1)0.91(約4萬3)全是20.040.05全是30.030.04全是40.010.02全是50.030.05全是60.09(約6千)0.11(約5千)全是70.030.05全是80.25(約1萬6)0.13(約6千)全是90.060.05點(diǎn)評：上述這些組合，都屬于弱爆了的口令極易被入侵者攻破。使用這些組合的用戶比例還挺高。這下，口令攻擊者可就爽了。另外，全8的口令明顯要高一些，而全4的比例明顯低。貌似迷信的因素也體現(xiàn)到口令設(shè)置了。名人的口令CSDN上有不少知名博客（也叫專家博客）。本來，俺以為：既然號稱專家，那安全意識應(yīng)該不會太差吧。所以，俺今天抱著偷窺明星隱私的丑惡心態(tài)，查了幾個(gè)名人的密碼。結(jié)果，看下來很令人失望啊很多知名人士的密碼，貌似也很弱??！為了避免讓某些人難堪，俺就不舉例說明了。說到專家博客，順便插一句：俺也曾經(jīng)也是CSDN的專家博客之一。今年8月份，CSDN要搞專家實(shí)名制。但是俺死活不肯公開真實(shí)身份。所以，俺的專家資格已經(jīng)被取消啦 :-(俺的忠告經(jīng)過這次脫庫事件，希望諸位能意識到密碼的重要性。強(qiáng)烈建議看一下俺去年寫的帖子如何防止黑客入侵2 - 如何構(gòu)造安全的口令/密碼。還有，無論如何也不要在多個(gè)地方共用相同或相似的密碼。版權(quán)聲明本博客所有的原創(chuàng)文章，