今天去首都在线机房清点服务器和网络设备，忙了一天。回到公司听说网络流传CSDN帐号数据库的事情，也不断有朋友和会员问我这个事情，CSDN帐号数据库是不是明文保存密码，是否安全？考虑到大家对这个问题都非常关注，解释一下相关的情况：

    

    CSDN网站早期使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。

    

    我2010年来CSDN上班以后，接手了CSDN产品部门和研发部门。在对整个CSDN网站产品线的梳理过程中，发现CSDN帐号的安全性仍存在潜在的问题：虽然密码保存已经修改为加密密码，但老的保存过的明文密码未清理；帐号数据库运行在Windows Server上的SQL Server，仍有被攻击和挂马的潜在危险，所以我立即要求程序员将所有明文密码全部清空。

    

    2010年9月我组建了新的研发团队重写CSDN用户管理功能，在《我来CSDN的这一年》 详细介绍了改造CSDN帐号管理passport的过程。新的passport产品在2011年元旦上线，使用了SHA256算法＋SALT加密，帐号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN帐号的各种安全性问题。

    

    以下是大家可能关心的问题：

    

    一、CSDN帐号数据库是明文保存密码吗？

    2009年4月之前是明文，2009年4月之后是加密的，但部分明文密码未清理；2010年8月我来CSDN以后清理掉了所有明文密码。

    

    二、我的CSDN帐号是安全的吗？需要修改密码吗？

    1、如果你是2009年4月以前注册的帐号，且2010年9月之后没有修改过密码，请立即修改密码；

    2、如果你是2009年4月以后注册的帐号，且2010年9月之后没有修改过密码，建议修改密码；

    3、如果你是2010年9月以后注册的帐号，不必修改密码，但邮箱有泄露可能性；

    4、如果你是2011年1月以后注册的帐号，帐号，密码和邮箱都非常安全；

    

    三、CSDN帐号数据库现在是安全的吗？

    历史遗留的安全隐患从2011年元旦起已经全部解决。CSDN帐号数据库已经迁移到了Linux平台上的MySQL数据库，进行了多方面的安全加固，密码加密强度也很高。

    

    四、CSDN老的帐号数据库是怎么泄露的？

    目前泄露出来的CSDN明文帐号数据是2010年9月之前的数据，其中绝大部分是2009年4月之前的数据。因此可以判断出来的泄露时间是在2010年9月之前。泄露原因不详，但是从互联网运营角度来说，Windows和SQL Server的安全性是比较难保障的，这也是为什么我改造passport要迁移到Linux平台的主要原因。

    

    五、如果我的CSDN帐号已经被盗怎么办？

    1、使用忘记密码功能，系统会重置密码，将新密码发到你的注册邮箱

    2、给管理员发邮件，请管理员帮助找回帐号

    

    六、我们将采取什么措施弥补此次问题？

    1、我们将针对2010年9月之前的注册用户，提示修改密码

    2、我们将针对所有弱密码用户进行提示，要求用户修改密码

    3、我们将对2010年9月之前所有注册用户群发Email提示用户修改密码

建议继续学习：

1. 网站密码存储方案比较    (阅读：5305)
2. 解决linux下安装ssl后，apache重启时需要密码    (阅读：5145)
3. 懒人连ssh不输密码若干大法    (阅读：4366)
4. 利用QQ游戏破解QQ密码    (阅读：4071)
5. SSH无密码登录    (阅读：4060)
6. Linux各版本root密码的本地破解方法    (阅读：3689)
7. CSDN明文口令泄露的启示    (阅读：3275)
8. 正确重置MySQL密码    (阅读：3198)
9. 懒人连ssh不输密码若干大法    (阅读：3017)
10. Debian Linux add or del user    (阅读：2935)