鉴于目前暴库与撞库越来越多,是不是应该创建一个密码指纹项目网站,用来识别某次暴库究竟是哪个网站泄露的。
xiaoyao9933 · 2014 年 12 月 25 日 · 3648 次点击这是一个创建于 4037 天前的主题,其中的信息可能已经有所发展或是发生改变。
例如本次12306事件,12306真是冤的很。为此可不可让这个项目统一生成不同的账号密码放在各大抢票网站,浏览器的记录之中。一旦发生暴库,我们就可以第一时间利用被泄的密码和其他信息判断到是哪里出现了问题,再也不用再冤枉任何无辜的网站。
 |
1
Automan 2014 年 12 月 25 日
不就是社工库吗。。
|
 |
2
xiaoyao9933 OP @Automan 社工库现在可以确定泄露源么?
|
|
3
xiaoyao9933 OP @Automan 它现在就无法判断本次12306泄露自哪里吧?
|
 |
4
fengchang 2014 年 12 月 25 日
@xiaoyao9933 不一定是一个来源撞出来的
安全人员搜索以往互联网上的数据进行了匹配,从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据,基本可以确认该批数据全部是通过撞库获得。 |
 |
5
lecher 2014 年 12 月 25 日
同一个网站的账户支持多用户登陆,这个是伪需求吧。正常网站谁会这么用?
要说通过密码区分,个人感觉密码带上网站域名或者应用名之类的,这个最直接,每个网站的密码都不一样,可以防止撞库,也可以通过这个来区分自己的信息是在哪个地方泄露的。 比如12306的密码 xxxin12306 v2ex的密码 xxxinv2ex 我觉得这样的方式不复杂,防止撞库这块还挺有效。 |
Select Language