近幾年，國(guó)內(nèi)一些企業(yè)的后臺(tái)用戶(hù)信息被黑客公布，相信大家都有耳聞，這只是公布了的，沒(méi)公布的呢?還有多少，你想想諸多中國(guó)互聯(lián)網(wǎng)企業(yè)保存了多少用戶(hù)的數(shù)據(jù)，它們往往都是黑客們的“余糧”，這些事件導(dǎo)致的損失咱就不聳人聽(tīng)聞了，在類(lèi)似事件當(dāng)中，有諸多的用戶(hù)隱私信息，其中最敏感的莫過(guò)于密碼本身了，今天就講講對(duì)于企業(yè)應(yīng)用來(lái)說(shuō)，如何保護(hù)用戶(hù)的密碼才安全。

使用“安全思維”一詞，源于我認(rèn)為這些原則不需要背誦，而是你應(yīng)用安全思維形成后的信手拈來(lái)。

密碼保護(hù)的原則：

1. 永遠(yuǎn)不要在數(shù)據(jù)庫(kù)、會(huì)話(huà)及本文當(dāng)中保存明碼密碼，中間臨時(shí)的變量存儲(chǔ)用完后要及時(shí)清空

2. 在正式的產(chǎn)品線上運(yùn)行的產(chǎn)品，任何人不應(yīng)該有渠道獲取到用戶(hù)密碼的明碼，包括但不限于產(chǎn)品開(kāi)發(fā)人員、產(chǎn)品維運(yùn)人員及技術(shù)支持人員

3. 用戶(hù)密碼只采用sha2-256或者更高版本更多數(shù)位的算法進(jìn)行哈希，而不是用諸如AES算法進(jìn)行加密

4. 任何用戶(hù)的密碼在哈希時(shí)必需包括但不限于：1)可配置長(zhǎng)串Key 2)用戶(hù)設(shè)置密碼時(shí)動(dòng)態(tài)隨機(jī)生成隨機(jī)串 3)用戶(hù)密碼本身

5. 永遠(yuǎn)不要以任何形式log用戶(hù)的密碼，無(wú)論你是想做問(wèn)題的調(diào)試還是用戶(hù)信息的收集，密碼的明碼都是不能碰的

6. 不要認(rèn)為以上1-5 block你的業(yè)務(wù)邏輯實(shí)現(xiàn)，那是你的實(shí)現(xiàn)方法不對(duì)，以上的原則是正確的

7. 企業(yè)應(yīng)用系統(tǒng)必需嚴(yán)格的log任何人的對(duì)用戶(hù)敏感信息的操作

可能有人會(huì)問(wèn)“帳戶(hù)泄漏不是因?yàn)橐韵驴赡艿脑驅(qū)е碌膯?ldquo;?

1)應(yīng)用層的漏洞，諸如：SQL Injection導(dǎo)致非授權(quán)數(shù)據(jù)被查詢(xún)出來(lái)

2) HTTP 伺服器(e.g. Apache\Tomcat...)實(shí)現(xiàn)時(shí)用的程序語(yǔ)言導(dǎo)致緩沖區(qū)溢出、業(yè)務(wù)邏輯導(dǎo)致的緩沖區(qū)溢出等導(dǎo)致遠(yuǎn)程代碼注入與執(zhí)行從而進(jìn)入后臺(tái)直接擰取數(shù)據(jù)庫(kù)內(nèi)容

3)網(wǎng)絡(luò)操作系統(tǒng)實(shí)現(xiàn)時(shí)用的程序語(yǔ)言導(dǎo)致緩沖區(qū)溢出、業(yè)務(wù)邏輯導(dǎo)致的緩沖區(qū)溢出等導(dǎo)致遠(yuǎn)程代碼注入與執(zhí)行從而進(jìn)入后臺(tái)直接擰取數(shù)據(jù)庫(kù)內(nèi)容

4)數(shù)據(jù)庫(kù)伺服器(e.g. MySql)實(shí)現(xiàn)時(shí)用的程序語(yǔ)言導(dǎo)致緩沖區(qū)溢出、業(yè)務(wù)邏輯導(dǎo)致的緩沖區(qū)溢出等導(dǎo)致遠(yuǎn)程代碼注入與執(zhí)行從而進(jìn)入后臺(tái)直接擰取數(shù)據(jù)庫(kù)內(nèi)容

......

是的，以上往往是爆庫(kù)的直接原因，但是在這里我建議您想想這三個(gè)概念：攻擊者、受害者、責(zé)任者，對(duì)于以上的原因，只有原因1)本身的責(zé)任者是產(chǎn)品的主人，而各種服務(wù)端軟件提供者、操作系統(tǒng)往往并不被企業(yè)直接進(jìn)行代碼級(jí)維護(hù)，你是可以通過(guò)安全設(shè)置與配置進(jìn)行安全設(shè)置，但是它的體系何止你了解的那么一丁點(diǎn)兒? 對(duì)于做產(chǎn)品應(yīng)用的企業(yè)來(lái)說(shuō)，最佳的原則是：即便一整套系統(tǒng)被人搬走了，我也能最大限度的保護(hù)用戶(hù)的隱私及敏感信息!

OK，我們繼續(xù)解讀以上7原則。

原則1. 這一條很容易理解，明碼意味著總有人有渠道去獲取，這個(gè)人現(xiàn)在可能是朋友，將來(lái)也可能是敵人，所以有明碼密碼的地方就是孽源，呵呵

原則2. 如剛才所說(shuō)，哈希后的密碼也不應(yīng)該通過(guò)簡(jiǎn)單的反向算法就可以恢復(fù)到原文，如果這樣，對(duì)于企業(yè)的開(kāi)發(fā)人員來(lái)說(shuō)等于沒(méi)有加密，還是那句話(huà)：在保護(hù)用戶(hù)敏感信息上，沒(méi)有可以相信的人，只有正確的方法。

原則3. 我一直在避免說(shuō)“加密”二字，這兩個(gè)字容易讓人聯(lián)想到能加就能解的事兒，所以容易習(xí)慣性的使用加密算法對(duì)密碼進(jìn)行加密存儲(chǔ)，這樣產(chǎn)品的實(shí)現(xiàn)者比較容易通過(guò)逆向的方法獲取到用戶(hù)密碼

原則4. 可配置的Key可以有效的避免產(chǎn)品的開(kāi)發(fā)與測(cè)試人員用同樣的方法在正式產(chǎn)品線上通過(guò)逆向的方式破解用戶(hù)敏感信息，隨機(jī)Key的目的是讓正式產(chǎn)品線上的維護(hù)者也較難通過(guò)逆向的方法來(lái)破解用戶(hù)信息，更重要的是避免在用戶(hù)信息表里具有相同密碼的用戶(hù)們擁有相同的哈希值! 具體如何實(shí)現(xiàn)嘛，辦法肯定有，需要智慧喲~_~

原則5. 許多公司的通病，就是開(kāi)發(fā)與測(cè)試人員為了自己的方便常把諸多信息寫(xiě)到LOG里，以方便自己的調(diào)試與問(wèn)題跟蹤，有了這個(gè)口子，一切安全措施都變成徒勞了，千萬(wàn)不要這么做!

原則6. 說(shuō)這一條就是為了堵住具體實(shí)現(xiàn)人員的嘴，呵呵，沒(méi)有實(shí)現(xiàn)不了的，只有你沒(méi)想到的。原則有了，實(shí)現(xiàn)方法一定會(huì)有，沒(méi)有直線的方法，可以有曲線的方法，總之一定有。具體產(chǎn)品具體業(yè)務(wù)邏輯具體對(duì)待，沒(méi)有統(tǒng)一的方法，能統(tǒng)一的，我就告訴你了~_~，但是整體思想是一致的。

原則7. 記錄企業(yè)產(chǎn)品的管理員、維運(yùn)人員、技術(shù)支持人員的敏感操作(包括但不限于)，對(duì)于一些重大安全事件的追蹤相當(dāng)有意義，最終有一種“鎖”機(jī)制，如果敏感l(wèi)og不能寫(xiě)成功，那操作就不能執(zhí)行，敏感操作的log最好放在相對(duì)獨(dú)立的服務(wù)器上，以防止被毀尸滅跡~_~。本人就有一個(gè)大膽的猜想：諸多企業(yè)的爆庫(kù)事件，至少有一種可能就是來(lái)自企業(yè)內(nèi)部，而并非一定來(lái)自“真正意義上的黑客”，大家千萬(wàn)別攻擊我，我只是說(shuō)至少有一種可能。

做應(yīng)用安全的過(guò)程就如你從剛接觸自行車(chē)到最終可以熟練的駕馭的過(guò)程。當(dāng)你首次接觸自行車(chē)的時(shí)候，通常有一種困惑就是：兩個(gè)輪子為什么不會(huì)倒?甚至因此質(zhì)疑自己到底能不能學(xué)會(huì)。當(dāng)你學(xué)會(huì)了以后，你就不需要再考慮它倒不倒的事兒了，任何一個(gè)要倒的傾向，你都會(huì)在不經(jīng)意間化險(xiǎn)為夷，這就是你已經(jīng)領(lǐng)會(huì)它的神了，植入了你的潛意識(shí)。應(yīng)用安全的思維也是這么形成的，只是過(guò)程要漫長(zhǎng)的多。我們學(xué)任何知識(shí)，最終能終身受益的往往不是知識(shí)本身，而是它的思維方式，比如：數(shù)學(xué)讓你有推理的思維習(xí)慣，歷史讓你有反思的思維習(xí)慣，哲學(xué)讓你有透過(guò)現(xiàn)象看本質(zhì)的思維習(xí)慣等等，大學(xué)畢業(yè)數(shù)年了，如果你不從事相關(guān)職業(yè)，讓你去考試，你能考幾分?但這并不表明你學(xué)的東西都忘記了，其實(shí)最有價(jià)值的東西還保存著呢，那就是：思維方式。應(yīng)用安全也一樣。祝您早日駕馭應(yīng)用安全!