今天你改密码了吗?国内知名网站CSDN、天涯、多玩、猫扑等多家网站用户帐号密码遭下载,掀起一股改密码的风潮。
明文密码惹的祸
如果说用户密码被下载是错,而知名网站采用明文记录用户密码则是大错特错。什么是明文密码?就是网站在记录用户密码的时候直接将密码原文存储,用户在注册账号时填写的个人信息以明文的方式储存下来,用户输入什么信息存下来就是这些信息,没有任何的保密措施。这意味着只要能打开数据库文件的人,即使不是IT技术高手,也能像查看记事本一样获取用户信息。采用明文密码是一种危险低端的储存方式,一旦黑客入侵服务器,数据就会全部泄露。而按照安全惯例,网站应该经常性地修复服务器漏洞并对数据库进行加密处理。一般情况下,密码等敏感字符,都采用加密的形式存储,通常采用MD5,SHA等不可逆的加密方式。这样一来即使密码被下载,只要密码够复杂想要破解密码也非易事。
密码曝光引出网民安全意识差
除了网站本身安全防护方式的弊端,网民的安全意识也再一次被敲响警钟,很多用户自身没有安全意识,密码简单重复,不重视基本的安全性。有专家统计了这次公布的CSDN密码,结果显示有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23.5万人使用它作为密码。排名第二位的密码是12345678,使用它的人数也超过了20万。这样的密码相当于“大门”敞开毫无防备,黑客窃取此类信息不费吹灰之力,更为可怕的是很多网民为了方便记忆,所有网站账号的用户名和密码几乎一模一样,一旦某家网站的个人信息遭破解被泄露,其他网站的个人信息也就“不攻自破”,泄密事件的社会危害性不断扩大的原因也正是基于此。
如何保护密码安全?避免“一个密码走天下”
假设密码长度是8个字节,再假设你有一台可以每秒完成2的56次方次运算的超级计算机,那么破解8个字节组成的密码仅需要4分16秒。但当密码长度达到16个字节时,破解它就需要149745258842898年,比太阳的寿命还要长。真的要到天荒地老了……
关于普通网友如何保护密码,第一要对密码进行分级管理,常用的重要账号,如电子支付、邮箱、聊天工具、微博等,可单独设置密码并加强管理,密码要具备一定的复杂性,可采用数字、大小写字母、符号相互组合;第二要定期修改密码,可有效避免网站数据库泄露影响到自身账号;第三,工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。
很多用户为了图省事,使用相同的邮箱、密码注册大量社区网站,甚至有些用户还会使用自己的邮箱密码甚至银行卡密码作为网站注册密码。“一码走天下”的方式看似省事,但只要有任何一个注册过的网站发生用户资料外泄,不法分子就可能利用其中的账号、密码资料去别的网站进行试探登录,获取用户的个人资料、隐私信息,导致用户的数字资产或实际资产损失。
密码管理建议:最基本的,应该拥有几组账号和密码:一个账号/密码用于一些大的可以依赖的站点,如:MSN、Gmail等,因为这些公司通常有足够的实力保护用户信息:另一个账号 /密码用于一些国内的一些大的网站,如QQ,开心、新浪微博等;第三个账号/密码用于一些经济活动,如网银,淘宝,支付宝。最后一个账号/密码设置得最简单,用于登录一些不安全或临时性需要注册的网站。
