也许是最近的工作内容和用户系统接触的比较多,突然想到了一件细思恐极的事情。
今天我在数据库里检索我们游戏用户信息表的时候,发现用户的注册用户名,密码是全部可以就这么明明白白的用SQL文查询到的,没错,所有的人的用户名,密码,我是看的明明白白~而当时恰好某人推荐了我一款外卖的app,我正在注册账号,当要输入注册密码的时候,脑海里突然联想到了数据库中那明明白白的账号密码。我就在想,如今是互联网时代,每个人一定都注册了无数个账号在各个网站,手机app,那么这些人的用户信息不就很可能会让像我这样有数据库操作权限的程序员看到了吗,而且,大多数人可能在注册各种网站,app时出于方便很可能用的是同一套用户名,密码,那么如果这个程序员用这个用户名密码去各大网站,游戏,app里去登录实验,我想总有能够登录成功的吧。所以想想确实是细思恐极啊~毕竟像我这样有正义感的程序员可不是那么多的(偷笑~)
但是很快,我也在想,是不是自己想多了,用户名,密码并不是这么容易得到的东西,于是带着这个疑问去请教了师父,哈,反倒是被师父笑话了,说我怎么这么晚才想到这一点。是啊,作为一个程序员早该考虑到这点。师父便让我去搜索下什么叫撞库攻击。搜索之后才明白,我之前的猜想的的确确存在,诸如之前csdn,12306,甚至网易都发生过用户信息泄露的事情。而这个撞库攻击,需要用户提高自己的信息安全意识来和互联网公司共同防御。但是很快师父告诉我也不必太过惊慌,因为正规的大公司在用户名密码入数据库时是不允许使用明文方式存入的,应当使用单向加密方式(注意是单向,即只能加密,不可解密,就是为了防止动机不良的程序员解密获取用户信息),网络消息的传递过程中也应当加密。我相信国内的互联网巨头,银行系统应当是有这个安全意识的。但是这就有一个疑问,其他的互联网公司是否有这样的安全意识呢?用户自己又不知道自己所注册的这个app的开发公司是否使用了这种方式入库。而且现如今大部分app在注册时都是以手机号作为用户名的,为什么现在手机垃圾短信这么多,确实很有可能是一些无良互联网公司私自将手机号贩卖给第三方。更甚者就如我前面所想的那样,直接查看自家数据库获取用户的用户名密码去尝试在其他app登录。说到这里,你心里也许有些害怕,不过不必太过担心,同时这里我得为支付宝说句话,至少像支付宝这样如果是不同设备登录,异地登录都会重新发短信验证给手机,安全措施还是比其他app强不少,可能毕竟是和财务相关的app的原因吧。而且其实不少和财务相关的app在安全这方面还是做了不少的。至于如果你发现自己的和财务相关的app没有在这方面处理的很好的话,我个人还是不建议使用。
说了这么多,也许前面提到的一些含有一些技术名词在里面的东西可能不是从事IT相关工作的人不是很懂,但不要紧。下面我按照简单的方式推荐大家注意好以下这一点就好了:尽量不要将和自己财物相关的密码和其他app的密码设置成一样的。这样就可以很大程度上避免那些获取了你其他网站注册账号密码来尝试登录你其他账号的风险~
要说的就这么多,如今是信息时代,希望大家能够提高自己的信息安全意识。
