再说密码安全：你准备好应对黑客入侵了吗？

楼主^#

更多发布于：2011-10-04 12:21

[] 1

关于密码学，本人是门外汉，不要和我说加密算法，这不是本文要关注的。关于如何在程序中实现用户密码的保护，这个也不是本文要写的，如何实现，这是程序猿的任务。

在各位继续往下看之前，在心里先默一下自己的密码管理习惯，问自己几个问题：

[pre]你在网上做什么？网上有多少个地方会找你要密码？你有多少个登录密码？你是否特别钟爱一个或几个密码，在很多服务中使用同样的密码？你知道别人有可能知道你的密码吗？[/pre]

有IT人士会说，不用太担心，这些网站会加密存储你的密码，密码算法是可靠的（常说的MD5），密码加密后的字串是不可逆的：即无法直接从MD5字串逆运算，得到你的密码明文。

理论上的确如此，但实际并非如此

图片：34_3710_0401b47a229ac9c.jpg

还可以在新浪微博找到专业人士的分析：

图片：34_3710_110dea44989c669.jpg

先想一下这个问题吧：中国有13亿人口，会有13亿个人名吗？答案肯定是“没有”，如果公安部公开户籍资料的一些统计数据，就能有非常具体的答案。我猜也许13亿中国人中，大概只有1亿个人名。在鄙司，有7个叫张伟的人，在我的座位前后，有两个叫陈浩（皓）的人。

回到密码，可以设想：你所使用的密码，可能别人正在用，或者曾经用过。密码和别人重复的概率是多少呢？

让我们先去访问一个网站：cmd5.com（特别提醒，请不要在这个网站输入你正在使用的任何密码验证，你并不在意的一个动作，会为这个数据库贡献一条记录）。

图片：34_3710_d8a82261223baf0.jpg

注意这里的文字说明：本站拥有全球最大的数据库，很多复杂密码只有本站才可破解，支持多种算法，实时查询记录超过7.8万亿条，共占用80T硬盘，成功率93%，一般的查询是免费的。对于本站数据库中不存在的记录，则自动进入后台分布式云破解，一屋子电脑协同计算，一天可破解1000万条，成功率98%。

这是一个在线的密码字典，可以通过这个网站查询密文所对应的明文字串。该网站的统计数字是93%的成功率，可以大致理解为，你所使用的密码与别人相重复的概率约93%。

你知道自己曾经使用过的服务被黑客攻击脱库吗？
脱库：这是黑话，意思是某个数据库被入侵，用户资料被黑客下载。

曾经有很多企业网站，包括非常著名的企业曾经被黑客脱库：

索尼，被入侵后7500万用户资料泄露；

韩国最大社交网站被黑 2500万用户资料泄露；

陕西某电信运营商，1400万手机用户资料被泄露（这是内鬼利用工作之便盗窃，和外部黑客攻击有区别）；

微博传某连锁酒店被脱库，怀疑所有用户消费资料被盗；

微博传某团购网站被脱库，用户资料被盗或被转手倒卖；

团购网站倒闭，管理用户资料的员工或企业，他会销毁手里的用户资料，还是转卖？我不知道。

未公开或不便说的入侵事件更多：

众多论坛曾经被脱库，甚至管理员完全不知情……

上周在COG2011大会上，有人传说天涯社区被脱库

图片：34_3710_77012a0ab5a8744.jpg

也有人说某微博一样被脱了，微博有上亿用户。

图片：34_3710_ccb2301bd285494.jpg

你会用一把钥匙开所有的门吗？

回忆一下，你正在使用的服务有多少，也许你没有数过，大致列举一下吧：
qq，微博，若干个邮箱，企业OA系统，淘宝、支付宝、当当、京东等在线商店，网银（若干张卡、手机银行），还有其他一些网站，有时很久不去，帐号密码全不记得。

太多了……

如果，你为了方便记忆，习惯于在这些服务上使用同样的密码。若其中某个服务被黑客入侵脱库，就有事情会发生：
1.邮箱被入侵，你的秘密，黑客掌握的清清楚楚；
2.有人冒充你的身份在QQ上向朋友借钱；
3.你的工作系统，被商业对手入侵，使你在商战中惨败；
4.半夜手机响，有人在千里之外用你的信用卡刷卡消费；
5.你的支付宝原来锁定的手机号和邮箱已被修改，这个帐号已不属于你，你却毫不知情，仍然让商业伙伴为这个帐户付款。

怎么搞定密码安全？

疯了，你这个搞安全的人，难道让我去记住这么多帐号密码，你TMD记得住吗？抱歉，我真的不是故意折腾自己并把折腾自己的方法和你分享，我也记不住几十个服务的密码。

重复一下我的经验：

将自己用的在线服务简单分三类：

一类：特别重要，丢了就损失惨重。包括最常使用的邮箱，淘宝支付宝、网银等与钱有关的东西。

二类：很重要，微博、QQ，电子商务网站的注册。这些东西丢了，会给自己或朋友构成威胁。

三类：不太重要，一般的论坛。

确保很重要或特别重要的帐号密码安全，其中重中之重是最常用的，与很多服务绑定的邮箱密码安全。因为这个邮箱地址必然是公开的，黑客只需要拿字典中查到的密码去尝试用你的身份登录。

密码可以很个性化，自己好记，外人猜不到，比如将自己最喜欢印象最深刻的事情缩写记录为密码（大小写混淆加上特殊字符），每一个很重要的或特别重要的密码都不与其他服务重复。

网银只选择有usb key的在线服务，与网银绑定的手机最好不关机。（我不确定手机不关机会浪费多少电，会缩短使用寿命吗？不确定）

当你的信用卡被盗刷时，银行会给你发短信，如果你关机了……

不太重要的服务，用不常用的邮箱来管理，忘了就忘了吧，用那个邮箱找回或者干脆重新注册。

总结一下：

不管一家公司有多牛，必须有人看好大门。安全是相对的过程，如果一个服务没有做安全维护，被入侵的事情就必然会发生。如果其中有数据库，资料被窃的概率就会很大。

注意到没，中南海的大门永远是敞开的，普通人却永远进不去，没有通行许可。

对个人也是如此，密码就是看门人。云存储正在向我们招手，未来，我们的资料也许都存在远程服务器上。

黑客时刻准备入侵，你准备好了吗？