CSDN 為什麼會用明文存儲密碼？是意外還是故意的？

01-18

使用明文存儲密碼有什麼好處嗎？

應該是故意的。

事實上，在註冊階段，將密碼進行加密後發送或存儲，是舉手之勞。別說簡單的MD5加密，哪怕是雙重MD5或者是採用其他不可逆的方式進行加密，都只是一兩個函數的事兒。

如果連這一兩行代碼都不願意加，只能是別有目的了。

使用明文存儲密碼絕對是故意的.

無論怎麼樣明文存儲密碼的壞處一定大於好處, 雖然可以在數據遷移時方便, 但最起碼也要 md5 加密一次, 很顯然這是故意的.

個人觀點：

1、csdn屬於資訊類網站，用戶賬戶在csdn沒有實質性的應用，即使取得密碼也危害不大。（除非csdn賬戶跟其它賬戶是同一密碼，導致黑客猜解）

2、媒體類網站很少關心賬戶的安全性，各大站經常被拖庫，這次不過是揭開了而已。

3、安全性跟投入跟正比，現在的媒體環境下，感覺國內公司沒有動力提升賬戶的安全性。

前段時間多玩論壇的YY的庫被爆了。

庫中包含的全部是明文密碼。

暫時沒有得到任何官方解釋 O,O

所以基本就是兩點。

1.官方自己故意弄的（很不穩定的因素，因為官方應該不會這麼WC）

2.攻擊者搞了web系統，修改了關鍵登陸或者註冊的環節代碼，額外（以增加新功能 webkit）寫入新的明文密碼欄位（這個推測還靠譜點，當然不排除有各種WC不考慮用戶感受的XX ）

各位說不是故意的同學不要太單純了，國內明文存儲（至少另存一份明文）的絕對是占多數的。

具體證據可以回想之前的新浪、QQ 密碼找回等事件。

有哪個你知道的知名網站可以直起腰板站出來說：我們沒有明文存儲用戶密碼？

請問你們到底想幹什麼？

據說有以下理由：

1.不用明文密碼沒法應付檢查。大家知道互聯網審查，有時往往會一個電話過來，要XX用戶的密碼。如果你沒法給出，上頭就認為你不配合，事情各種難搞。作為審查機構的老闆，當然沒必要知道明文密碼的危害。他們只知道，我要密碼，為什麼不行。所以，悲崔的程序員們就往往會得到一條死命令，保存明文密碼。

2.壓根不知道明文密碼有什麼問題。中國的互聯網有太多的沒基礎的新人，從石頭的縫隙中頑強的生長出來。這不是壞事，壞事的是這些人往往會在一些基礎問題上出現奇怪的毛病。例如有些程序員，寫程序很快，但是居然從來不知道密碼明文存放會導致什麼問題。更神奇的是，這些人中，有一家銀行…

3.自信暴棚的混帳。有些人的自信總比別人強，而且強在莫名其妙的地方。例如：我的伺服器肯定是沒問題的，所以我的密碼一定要明文存放。如果不，就是質疑我的技術。

實話說，這種人真是少數中的少數。

4.遺留系統。很多系統設計的時候因為某個其他理由，使用了明文密碼。等後來這個理由不存在了，密碼系統升級成了一個困難。因為密碼系統太重要了，所以在沒有太大利益的情況下，總是傾向於不修改系統。但是有什麼足夠利益來推動系統修改呢？用戶安全問題在發現前不是一個問題——好比這次的CSDN，不是被暴出來的話就根本不會被當作一個問題。系統的管理者，每個人都沒有足夠的動力去修改系統。

5.世界的陰暗角落。有的時候，程序員/老闆明文存放的理由，是為了方便盜竊用戶其他網站資料。例如我所知的某釣魚案例，你註冊網站，就提供很多免費服務，網站看起來也很靠譜——除了後來突然爆出這家網站其實暗地中用你的生日/密碼猜解信用卡/銀行卡密碼，大家才突然發現，這家網站其實根本沒有在美國註冊，而是一個聽都沒聽說過的國家。

而且很多網站提供從其他網站導入之類的功能，更加的危險。以前經常爆出twitter密碼被竊取，主要就是因為OAuth開放以前，twitter上的第三方應用需要提供原生密碼，導致很多小應用的目的其實就是收集密碼…

6.為了給用戶提供方便。這個理由和上一個很類似，不過不是為了某些險惡的目的。而是客戶經常要求——為什麼我不能做XX事，為什麼我不能blahblah。好吧，為了讓你能，我們就必須保存明文密碼。

詳情請見：http://www.36kr.com/p/71020.html

應該是故意的

范凱，JavaEye創辦者，CSDN產品總監的解釋「CSDN網站早期使用明文是因為和一個第三方chat程序整合驗證帶來的，後來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式，改成了加密密碼。」

其實意思就是當時太懶不想改，一直拖到09年4月，當然他們也不想搞成今天這個局面

不太明白為什麼有這麼多程序員來質疑明文。

其實很多老闆都是有這個要求，我們要明文保存。程序員問他為什麼?

老闆說，到時候有用，你先存著吧。

就這樣。

「大家知道互聯網審查，有時往往會一個電話過來，要XX用戶的密碼。如果你沒法給出，上頭就認為你不配合，事情各種難搞。作為審查機構的老闆，當然沒必要知道明文密碼的危害。他們只知道，我要密碼，為什麼不行。所以，悲崔的程序員們就往往會得到一條死命令，保存明文密碼。」

我聽說是這樣的，是嗎？求證。

update: 恩。很多內行人士在評論中指出了這個傳言的不靠譜性。大家可以多看看我的答案內的評論，看完後再點「贊同」不遲。

以後的網站別TMD要註冊了，煩死了，現在對要註冊的網站直接無視，直接用OpenID登錄就好了，每個網站搞一個累不累啊，又不能保證安全。

作為一個資深程序員，不知道csdn號能用來幹嗎？

居然把用戶的密碼存成明文, 居心何在啊, 看來CSDN是一家對用戶很不負責任的公司

應該是故意存儲的明文密碼，但凡出於一點安全考慮，都應該加密。

我大膽估計即使現在csdn還在存儲明文密碼，我查了一下，發現在csdn泄密的文件中，有關於我的三份賬號，我自己都不太記得了，最新的一個小號是在10年之後申請的

好處是: 可以少些一點代碼!

壞處是:體現了該程序員的無知與愚昧.

一個由懶惰而起的事件，卻可以給國內信息安全界一個大大的案例，以後再推訪問控制軟體的時候還可以順便強調一下密碼的控制機制。。。

中國的隱私保護，需要感謝CSDN

最近發現不少著名的互聯網公司都有部分是明文密碼，大家可以陰謀推測一下誰會需要這些用戶的隱私。

明文密碼的存儲或者明文備份，很容易理解，人性的自私面，以備不時之需，還有什麼資料庫比這種更適合用來做分析。

詳情請見官方公告，【公告】致CSDN會員的公開道歉信http://news.csdn.net/a/20111221/309505.html

應該不是故意的,以前的很多的系統都是明文,但是作為"全球最大的技術...."就有點諷刺了

這件事情發生後,CSDN(包括JavaEye)明顯推脫責任,引導輿論,刪除不同意見的帖子,范凱真不應該加盟CSDN,本來JavaEye還是一個不錯的選擇,現在不是了,跟CSDN一家人了

受邀題。

其實我也想不通這個問題。

因為這事兒操作起來沒啥難度，而且也是業界默認的原則。

為什麼沒做？

也許有歷史原因，比如最早的時候網站規模沒這麼大，技術開發馬馬虎虎搞一下，根本懶得去做加密傳輸或者加密儲存，等到規模大了之後，或者技術人員已經換了，前者的東西後者不敢改或者懶得改或者優先順序不高，再加上沒有料到CSDN這麼大的IT站點也能被菊爆或者也有人敢來爆菊花，導致了今天的局面。

當然，我非常相信，除了國內安全級別非常高的支付網站和電商網站，很多站點都依然有各種可能是明文密碼，呵呵。所以，大家還是別用一個密碼註冊所有的網站比較好。

最初設計的人偷懶，後面的人又懶得改。就是這樣。