12月3日,有微博网友曝出陌陌2015年的账户密码信息在暗网上公开售卖,数据量达到3000万条,而要价只有区区50美元,折合人民币还不到350元。
一时间,仿佛在数码、网络、科技等圈子都扔下了炸弹,可是还没等话题开始发酵,陌陌就很神速的给出了官方回应:
简单概括:一、由于是三年前泄露的数据,所以其中很多都是不符合现在数据的;二、陌陌加密技术很强大,别人即使拿到数据也看不到你的密码;三、陌陌有多重验证,光拿手机号和密码也登不上你的账号。
总而言之——这是虚惊一场,请用户放心。
别人已经拿到了你的数据,可是从中无法获得有用信息,也不会对用户群体造成实质损害,这可能吗?
这不仅可能,实际上这已经是互联网+行业的常态。
包括销售数据的人自己也清楚这一点,所以特别指明“本数据不保障现时有效性,只适合撞库等用”。
为什么会这样?
想知道答案的话,就让小编带您来一起了解一下吧。
网络安全大锁——数据加密技术
先说网络数据安全,有一个非常非常重要的核心——数据加密, 是一种通过加密算法和加密密钥将明文转变为密文的技术,与之对应的还有数据解密,是一种通过解密算法和解密密钥将密文恢复为明文。它的核心是密码学。
举个最简单的例子,小编的密码是“123”,但数据库存储的时候可能会将密码乘以2,变成“246”来存储,这样,即使黑客看到了数据库,也只能看到密码显示为“246”,这当然是无法用来登陆的。
在这个例子中,数据库将密码“乘以2”的方式,就是加密。黑客想要登陆小编的账号,除非他知道数据库中“246”的解密方式,即除以2,得到“123”的结果,才能得到小编的真实密码。
网络配图——公钥和私钥
现实中的数据加密,其复杂程度要远超小编所举的这个例子,以不对称加密算法为例,使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。公钥只能用来对数据加密,若用来解密,就会得到错误的数据;而私钥则跟公钥完全匹配却又毫不相同,只有私钥才能用来对数据解密。
除非私钥泄露,否则一般没有人能通过计算的方式来破解不对称加密算法加密过的数据库。
顺带一提,RSA算法作为不对称加密算法的代表,是现代社会最常用的加密手段之一,除了这种算法之外,还有以AES算法为代表的对称加密算法,有兴趣的读者可以自行搜索资料了解,不做过多赘述。
陌陌所泄露的数据,其实就是加了密的,这也是陌陌敢让用户“放心”的一个重要原因。
使用短信验证码来验证手机
另一个原因,就是“多重身份验证”了。这个理解起来很简单,一般社交软件都会要求绑定手机号,当你更换手机之后,即使有账号密码也不能直接登陆,而是需要填写所绑定手机号接收到的短信验证码才行。
除此之外,还有许多不同的身份验证方式,例如指纹、虹膜、人脸等等;其原理都大同小异,一旦发现用户更换手机,就会要求用户额外验证一些信息,来确定登陆的人就是用户本人。黑客总不能连你的手指、眼睛、人脸等信息都拿得到,并且都仿制的出来吧?
这个也有效的避免了账号被盗,陌陌采用的就是额外验证手机的方式;黑客拿走了数据库,即使拿到了你的账号和密码,由于黑客拿不到你的手机,收不到登陆时要填写的短信验证码,自然也就无法登陆你的账号。
有了“数据加密”、“多重身份验证”这样的双重保障,最终,能在数据泄露的前提下做到用户基本不受损害,也就不奇怪了。
不过经历了这次事件,陌陌还是要多长点儿心,毕竟,一开始的数据是怎么泄露出去的呢?这可真得好好查查。
这次数据泄露只是虚惊一场,最终损失也有限,可是万一再有下次,那就真不一定了。
