CSDN產品總監范凱就密碼明文保存問題發布解釋

下面內容來自 CSDN 產品總監范凱的博客：

今天去首都在線機房清點服務器和網絡設備，忙了一天。回到公司聽說網絡流傳CSDN帳號數據庫的事情，也不斷有朋友和會員問我這個事情，CSDN帳號數據庫是不是明文保存密碼，是否安全？考慮到大家對這個問題都非常關注，解釋一下相關的情況：

CSDN網站早期使用明文是因為和一個第三方chat程序整合驗證帶來的，后來的程序員始終未對此進行處理。一直到2009年4月當時的程序員修改了密碼保存方式，改成了加密密碼。

我 2010年來CSDN上班以后，接手了CSDN產品部門和研發部門。在對整個CSDN網站產品線的梳理過程中，發現CSDN帳號的安全性仍存在潛在的問 題：雖然密碼保存已經修改為加密密碼，但老的保存過的明文密碼未清理；帳號數據庫運行在Windows Server上的SQL Server，仍有被攻擊和掛馬的潛在危險，所以我要求程序員將所有明文密碼全部清空。

2010年9月我組建了新的研發團隊重寫CSDN用 戶管理功能，在《我來CSDN的這一年》 詳細介紹了改造CSDN帳號管理passport的過程。新的passport產品在2011年元旦上線，使用了強加密算法，帳號數據庫從Windows Server上的SQL Server遷移到了Linux平臺的MySQL數據庫，解決了CSDN帳號的各種安全性問題。

以下是大家可能關心的問題：

一、CSDN帳號數據庫是明文保存密碼嗎？
2009年4月之前是明文，2009年4月之后是加密的，但部分明文密碼未清理；2010年8月我來CSDN以后清理掉了所有明文密碼。所以從2010年9月開始全部都是安全的，9月之前的有可能不安全。

二、我的CSDN帳號是安全的嗎？需要修改密碼嗎？
1、如果你是2009年4月以前注冊的帳號，且2010年9月之后沒有修改過密碼，請立即修改密碼；
2、如果你是2009年4月以后注冊的帳號，且2010年9月之后沒有修改過密碼，建議修改密碼；
3、如果你是2010年9月以后注冊的帳號，不必修改密碼，但郵箱有泄露可能性；
4、如果你是2011年1月以后注冊的帳號，帳號，密碼和郵箱都非常安全；

三、CSDN帳號數據庫現在是安全的嗎？
歷史遺留的安全隱患從2011年元旦起已經全部解決。CSDN帳號數據庫已經遷移到了Linux平臺上的MySQL數據庫，進行了多方面的安全加固，密碼加密強度也很高。

四、CSDN老的帳號數據庫是怎么泄露的？
目前泄露出來的CSDN明文帳號數據是2010年9月之前的數據，其中絕大部分是2009年4月之前的數據。因此可以判斷出來的泄露時間是在2010年9月之前。

五、如果我的CSDN帳號已經被盜怎么辦？
1、使用忘記密碼功能，系統會重置密碼，將新密碼發到你的注冊郵箱
2、給管理員發郵件，請管理員幫助找回帳號

六、我們將采取什么措施彌補此次問題？
1、我們將針對2010年9月之前的注冊用戶，提示修改密碼，并提示用戶把其他網站相同的密碼也盡快修改
2、我們將針對所有弱密碼用戶進行提示，要求用戶修改密碼，并提示用戶把其他網站相同的密碼也盡快修改
3、我們將對2010年9月之前所有注冊用戶群發Email提示用戶修改密碼，并提示用戶把其他網站相同的密碼也盡快修改
4、我們將臨時關閉CSDN用戶登錄，針對網絡上面泄露出來的帳號數據庫進行驗證，凡是沒有修改過密碼的泄露帳號，全部重置密碼。

我這個不是官方的公開聲明，僅從個人工作角度來解釋，CSDN網站公開聲明會稍后公布，我希望自己代表CSDN向用戶表示深深的歉意。