网易邮箱账号密码泄露

　　网易账户泄露   免费关注微信公众号 jijiewangcom ，就能天天收到季节网资讯了，还有机会和主编小节姐一对一私聊喔。

　　先是被暴出有50多G的邮箱账户密码资料，后来又暴露出90多G的版本。

　　其实我以前是夸过网易的，这家公司是国内非常扎实有成就的公司。

　　了不起的网易

　　其实关于网易邮箱密码泄露的事情，很早就有风传，网易一直坚持说，他们系统没有明文密码，没有泄露过，所有出问题的账户，都是撞库攻击，被彩虹库撞出来的。(这段看不懂的请去看我前面的科普文章，请相信我，信息安全科普对每个读者都是有价值的。)

　　那么这次，这么多的大量集中曝光，真的是撞库撞出来的? 这是多大毅力的黑客撞了多少年?网易的日志系统里看不见，这么大规模从没防御过?

　　基于常识，很抱歉，我依然不知道内情，只是基于常识，做一个个人的简单判断，也许我是错的，但是这是就目前公开资料，基于我的理解所能做出的最合理解释。

　　网易邮局是一个历史悠久的系统，其产品原型要追溯到上个世纪。在那个年代，大家其实对彩虹库也好，对撞库攻击也好，都还一知半解，那还是SQL注入没有几个人明白的年代，那时候网易的邮局系统设计，我猜测，可能没有考虑到随机salt这件事，那时候没人有这个概念啊，估计大家觉得加个md5就够了。

　　那么中间，在运营的过程中，会不会出现因为某个原因，数据库被人扒库的情况? 信息安全防御技术实际上一直是落后于攻击手段的发展的，可能很多人不知道这个真相，要不为啥有0day一说，以网易邮局的规模，体量，影响力，我觉得被扒库也不是不可能的，也不是多丢人的，你就算运维多专业，安全工作多到位，真来了个新的0day，你哪怕晚一个小时知道你可能都出事了。而且，很可能被扒了还蒙在鼓里，人家只要不立即做下一步的破坏行动，你还真察觉不到这中间出事了。

　　但网易可能过于相信自己，认为我没有存明文密码，我所有密码都加密过的，所以没事，漏出去也不会被破解。

　　但事实上不是，你就算md5过了，你就算二次md5，你就算用统一salt加md5，人家拉一个密码档规则，按你同样的加密方式跑一下，破掉80%+的用户密码根本就不是个事!如果计算力够，破掉95%+的用户密码也属稀松平常!!

　　我的猜测是，网易早期存在数据库泄露，虽然有加密，但是没用随机salt，所以，被破出来了非常高的比例的账户密码。

　　以上为常识猜测，如不符实，概不负责。

　　但这个猜测逻辑，也请各个创业公司的技术运维，自检一下，凡是没有随机salt加密的，用户库都是不安全的。(别跟我争执说随机salt加密也不安全的问题，这涉及破解成本，基本上我们可以认为从整体规模上是安全的)