CSDN產(chǎn)品總監(jiān)、JavaEye(現(xiàn)更名為ITEye)創(chuàng)始人范凱(robbin)晚間更新了個(gè)人博客，對(duì)大家關(guān)注的帳號(hào)密碼泄密事件進(jìn)行了詳細(xì)解答，包含整個(gè)事件的來(lái)龍去脈，以及相關(guān)的帳戶安全性建議。

CSDN網(wǎng)站早期使用明文是因?yàn)楹鸵粋€(gè)第三方Chat程序整合驗(yàn)證帶來(lái)的，后來(lái)的程序員始終未對(duì)此進(jìn)行處理。一直到2009年4月當(dāng)時(shí)的程序員修改了密碼保存方式，改成了加密密碼。

在2010年JavaEye被CSDN收購(gòu)，范凱接手了CSDN產(chǎn)品部門和研發(fā)部門。在對(duì)整個(gè)CSDN網(wǎng)站產(chǎn)品線的梳理過(guò)程中，發(fā)現(xiàn)CSDN帳號(hào)的安全性仍存在潛在的問(wèn)題：雖然密碼保存已經(jīng)修改為加密密碼，但老的保存過(guò)的明文密碼未清理;帳號(hào)數(shù)據(jù)庫(kù)運(yùn)行在Windows Server上的SQL Server，仍有被攻擊和掛馬的潛在危險(xiǎn)，所以范凱立即要求程序員將所有明文密碼全部清空。

2010年9月范凱組建了新的研發(fā)團(tuán)隊(duì)重寫CSDN用戶管理功能，在《我來(lái)CSDN的這一年》 詳細(xì)介紹了改造CSDN帳號(hào)管理Passport的過(guò)程。新的Passport產(chǎn)品在2011年元旦上線，使用了SHA256算法+SALT加密，帳號(hào)數(shù)據(jù)庫(kù)從Windows Server上的SQL Server遷移到了Linux平臺(tái)的MySQL數(shù)據(jù)庫(kù)，解決了CSDN帳號(hào)的各種安全性問(wèn)題。

以下是大家可能關(guān)心的問(wèn)題：

一、CSDN帳號(hào)數(shù)據(jù)庫(kù)是明文保存密碼嗎?

2009年4月之前是明文，2009年4月之后是加密的，但部分明文密碼未清理;2010年8月我來(lái)CSDN以后清理掉了所有明文密碼。

二、我的CSDN帳號(hào)是安全的嗎?需要修改密碼嗎?

如果你是2009年4月以前注冊(cè)的帳號(hào)，且2010年9月之后沒有修改過(guò)密碼，請(qǐng)立即修改密碼;

如果你是2009年4月以后注冊(cè)的帳號(hào)，且2010年9月之后沒有修改過(guò)密碼，建議修改密碼;

如果你是2010年9月以后注冊(cè)的帳號(hào)，不必修改密碼，但郵箱有泄露可能性;

如果你是2011年1月以后注冊(cè)的帳號(hào)，帳號(hào)，密碼和郵箱都非常安全;

三、CSDN帳號(hào)數(shù)據(jù)庫(kù)現(xiàn)在是安全的嗎?

歷史遺留的安全隱患從2011年元旦起已經(jīng)全部解決。CSDN帳號(hào)數(shù)據(jù)庫(kù)已經(jīng)遷移到了Linux平臺(tái)上的MySQL數(shù)據(jù)庫(kù)，進(jìn)行了多方面的安全加固，密碼加密強(qiáng)度也很高。

四、CSDN老的帳號(hào)數(shù)據(jù)庫(kù)是怎么泄露的?

目前泄露出來(lái)的CSDN明文帳號(hào)數(shù)據(jù)是2010年9月之前的數(shù)據(jù)，其中絕大部分是2009年4月之前的數(shù)據(jù)。因此可以判斷出來(lái)的泄露時(shí)間是在2010年9月之前。泄露原因不詳，但是從互聯(lián)網(wǎng)運(yùn)營(yíng)角度來(lái)說(shuō)，Windows和SQL Server的安全性是比較難保障的，這也是為什么我改造passport要遷移到Linux平臺(tái)的主要原因。

五、如果我的CSDN帳號(hào)已經(jīng)被盜怎么辦?

使用忘記密碼功能，系統(tǒng)會(huì)重置密碼，將新密碼發(fā)到你的注冊(cè)郵箱

給管理員發(fā)郵件，請(qǐng)管理員幫助找回帳號(hào)

六、我們將采取什么措施彌補(bǔ)此次問(wèn)題?

我們將針對(duì)2010年9月之前的注冊(cè)用戶，提示修改密碼

我們將針對(duì)所有弱密碼用戶進(jìn)行提示，要求用戶修改密碼

我們將對(duì)2010年9月之前所有注冊(cè)用戶群發(fā)Email提示用戶修改密碼

huanghui