传播网民账户密码库可能违法

最近这么集中的，连续的发布这么多真假难辨的所谓互联网用户帐户信息，实在让人难以捉摸到底背后是什么。是单纯的黑客自爆，还是另有原因？

但是至少，单纯的从技术角度来讲：

1，以中国目前的互联网用户基数、互联网服务数量和与之对应的更为庞大的互联网账户数量来看，几百万，甚至上千万账户数据，所占比例应该比乍一想的要小。同时基于中国互联网用户普遍的素质，以及大量存在的测试型、临时性采用零级密码的帐户信息，少有用心的黑客即使只是通过一本百万级别的密码字典，也可以在一段时间内通过暴力破解来获取相当大的用户账户数据。

简单的说吧，就是所曝光的那些用户帐号密码信息，如果是密码相对简单的账户，那么黑客也许不用通过后门入侵数据库去下载明文信息就能通过暴力破解而获得。

当然，对于那些特别复杂的密码，比如 ppnn13%dkstFeb.1st 这种的还出现在列表里，而且经尝试为真的话，那就不是上面说的这个情况了。

2，技术和安全的发展是一个渐进的过程，还是之前我说过的，你不能随便就要求任何一个家里的大门都和银行金库一样，同理，互联网公司发展往往非常快，一个小公司做3、5年之内就成长起来，但是其相应的后台技术在某些方面存在临时性的滞后是可以理解的（当然，像CSDN这样专业的网站还有这么久的历史但是却还用明文存储用户密码的行为是不可原谅的）。比如开心、人人、多玩等网站，从创办到崛起到上市，几年光景。当初创办的时候谁都不知道还有没有明天，创业公司招聘难大家都清楚，有人能做前端能做界面就不错了，后台和安全性根本不可能是这些公司重点考虑的方向。因此一些产品存有这样或者那样的漏洞也就在所难免。当然，对于大公司来说成长变大实力增强之后，代码总会重写，漏洞总会修补，但是在代码重写之前，漏洞修补之前，公司肯定是先变大变强了的，否则也没资源重写代码修补漏洞。因此这期间有一个时间差。这时候系统的漏洞是易于被攻击并且攻击者也看得上你的数据的。

特别是最近一些创业公司喜欢用一些开源的项目做基础来搭建自己的服务，比如用Discuz系列的论坛程序，用ECShop系列的电商程序，用最土的团购等等，这样产品搭建会快很多，但是开源程序也更容易被黑客研究并发现漏洞。更是有很多网站使用了开源的项目搭建自己的服务以后，却不注意更新升级，导致自己的服务中留存有很多早就被发现并公开的系统漏洞，最后导致自己的后台易于被黑客入侵……

3，无论如何，公开这些信息的人都已经涉嫌违法犯罪。

4，前面提到真假难辨就是在于，现在这些帐号和密码的下载成了网络上的热门关键词，因此和很多曾经的“XX门”一样，这些关键词和下载资源成了骗取流量甚至传播病毒的一个良好载体。更有甚者，如果我做一个论坛，用这些关键词来发表帖子，但是要求回复可见下载地址，或者注册用户才可以下载，我又会通过这样的帖子骗取多少用户帐户信息呢？

各位，如果你不是在做研究，就别下载这些对你没用的用户数据了。如果你有一个网站，更不要去传播这些数据的下载，真有可能有法律风险，各位小心！

Android超过IOS看来不是什么不能期待的了

美国研究公司Xyologic发布了这份报告。该公司指出，今年，苹果应用店排名前150名的应用下载次数和去年相比翻了一番，从3700万次增加到9700万次。而在Android平台上，前150名应用下载量则是翻了四倍，从2900万次增加到1.25亿次。数据显示，Android下载次数已经超过了iPhone。

在苹果美国应用店，前150名应用中100个为游戏，其余则为非游戏应用工具。而在美国Android市场，前150名应用中游戏数量为65个。

在苹果平台，游戏下载量为7150万次，非游戏为2560万次。而在Android平台上，游戏下载量为3340万次，非游戏则是9150万次。

互联网用户的密码安全需要更强力的介入

这两天互联网上集中爆发了密码安全的问题。

从CSDN的密码泄漏开始，居然一个接着一个，根据网络上的报道，继CSDN在2010年9月前的部分会员用户帐号密码因为明文存储和被攻击盗取而被曝光之后，包括世纪佳缘、多玩网、新网、开心网等十数家知名网络公司的用户帐号和密码信息被窃取并在网络上明文发表。这几天网络上到处通过各种网盘、下载站、P2P下载工具传递着这些记载着数百万用户id、密码和email的文件。

对于已经发生的事情，我暂时不关心，因为反正它已经发生了。关键是，这次规模巨大的，影响面甚宽的密码安全问题，在今后会发生生么？各位网络用户应该怎么办？

1，互联网的发展，和互联网安全技术的发展是一个渐进的过程，很多年头久远的网站也许真的存在一些历史遗留问题，就是一些新兴的互联网业务也许因为工程师的水平、认识、责任心等区别也会有不同的安全漏洞被曝露。

2，我们不能要求每一个人住家的大门都和央行金库的门是一个标准。对于互联网服务我们也不应该要求每一个网站都提供全球最高等级的数据安全措施——他们应该保障安全，但那也是在他们的能力范围之内。

3，退一万步说，即使你家里没有安装防盗门或者出门没锁门，那也不是小偷可以随便进屋拿东西的理由。如果有人进屋拿了，那一样是偷盗，是犯罪。因此此次涉及面如此之广的id和密码泄漏问题，根源是谁拿到的这些密码，怎么拿到的？谁发布的这些id和密码？怎么发布的？

（顺便说，金山毒霸做了这么一个工具 http://cs-test.ijinshan.com/security/ 用来检测你的帐号是否存在于这些已经曝光的id密码列表里，这个比较好，只告诉你有没有，不告诉你别人的信息，推荐广大用户赶快去查询一下。如果你的email或者常用id出现在这个列表里面，则说明你的id和密码有可能被泄露了。）

4，任何传播着写id密码库的行为都从某种程度上对此次安全事故做了放大，对此，迅雷等下载工具已经表示要“全面屏蔽泄漏的密码信息的传播”，这一点我认为做的很好，就是不大及时。应该昨天就全面进行屏蔽。

5，所有涉及到的网站，应该静心重视一下自己的后台，自己存放的广大用户的数据的安全性。当然，像CSDN这样的中国第一专业技术人员网站、社区，爆出如此低级的明文存放密码的错误实在令人汗颜。好在CSDN第一时间发表道歉信并说明实际情况，没有推诿责任，没有文过饰非，我觉得这终究还是要给予理解的。

6，根据直觉和经验来判断，现在涉及的很多所谓“密码库”真真假假，更不乏小网站小论坛借助csdn密码下载之类的关键词来吸引流量，甚至是借助此次热门下载来传播病毒。在此，特别友情提醒各位网友千万小心那些要求你注册帐号后才能下载附件的网站、论坛，要知道很有可能因为这个，就反而把你的email和密码透露给了他们！

总而言之，根据之前很多网友做的抽样测试来看，已经暴露的一些id密码确实正确，那么如此看来此次密码事件已经关系到一个数量庞大的网民的网络安全的问题。

目前中国互联网发展这么多年来，互联网上的应用和服务丰富多彩，绝大多数都在互联网上拥有数个网络服务的帐号和密码。为了便于记忆，很多用户都会在不同的网络服务帐号下使用同样的密码。因此一个网站上的密码泄露既有可能导致被不法分子去尝试其他网络服务的登录。因此，零零发在此再次提醒各位网民，请利用上面提到的这个金山毒霸提供的查询工具，查询你常用的Email和网上id是否存在于已经曝光的id密码列表之中，如果在，建议你尽快修改你这个Email关联的所有互联网账户的密码。虽然非常麻烦，但是涉及到诸君自己的网络生活，请大家默默的在心里对发布这些密码信息的混蛋竖一下中指的同时，耐心的去修改密码吧！

-----

关于个人密码安全设置的一点个人建议：

1， 么设置复杂的密码并且把它们牢牢记住？ 

2，不要以为你以前设计的密码很复杂这次就没事儿，这次是密码明文泄漏，因此和你的密码复杂程度没关系。请更换密码。

3，如果你以前的密码没有分级设置，正好借此次事件，重新整理、规划你的密码分级。个人建议每个人至少要有三级密码：

    a，顶级密码：不超过3个的私人Email账户的专属密码，最好只用于一个Email帐号，比如你的Gmail帐号。这个密码长度在12位以上，要有最高强度的设置防止暴力破解。这个密码用大家的脑子牢牢记住，绝不用作他途，绝不保存入cookies，绝不写在本子上。

    b，网银密码：鉴于钱财对大家的重要性，对所有银行、支付相关的服务请单独设置一级密码。包括你的网络银行帐号密码，淘宝、支付宝密码和支付宝支付密码等。此类密码最好足够复杂、随机。密码长度在8位以上，用大小写字母+数字+一个特殊字符来组成。

    c，常用密码：这一级的密码可以有两、三个，密码可以通过“常规复杂密码+区别代号”来设置。这个密码用于你大多数正常的网络服务，邮箱帐号的登录。密码长度在6位以上，大小写字母加数字。利用上面个人建议第一条提到的方法设置并记忆就好。

通常的，你还可以有一个零级密码，就是你无差别注册一些实验性的帐号，或者完全无足轻重的论坛帐号，马甲帐号，可以就是用常规的数字或者字母，或者上面我提到的一句话的首字母来设置。多简单也无所谓，比如你设置成123456，也行。

4，如果你不是安全专家，不是技术人才做研究，请你不要下载和传播现在网络上正在流传的各个网站的id密码库，这对大家一点好处都没有，反而助长了包括你自己在内的普通用户的个人隐私被泄露被不法分子利用的可能性。如果你只是好奇拿到了某个不知道什么人的id和密码，你以偷窥的欲望去登录，说不定还会给你自己带来一些法律上的麻烦。

总而言之，事已至此，这次我是真心希望有关部门能够尽快介入，尽快查处源头，保障诸多网民的互联网信息安全。

同时这次事件也提醒我们，我们所面临的互联网数据安全形势，实际上还很严峻。互联网各个公司的技术发展不均衡，互联网安全领域攻防双方还在各种博弈，此时我们如果要做任何有可能涉及众多网民个人信息方面的决策，需要更加谨慎。

庞小伟：创业是一种生活状态

 

什么是创业？

创业是一份职位叫老板的工作吗？

创业就是拿别人的钱来给自己折腾吗？

创业就是不用朝九晚五——而是朝八晚十且没有周末吗？

……

12月2日晚的5G白话，天使湾创始人，互联网创业者，诗人，庞小伟，坐在我对面，一字一句的告诉我：创业，是一种生活状态！

互联网是一个充满了创业梦想的行业，无数人在互联网上通过一个个神话般的创业历程，成就了一段故事，成就了自身价值，也共同推进了人类互联网络的进步和发展。然而，更多还没有开始创业的人，究竟如何看待创业？

天使湾 前不久在杭州举办了一个很有意思的创投早期扶持的项目“聚变”，天使湾创投从300多个创业计划书中挑选出30个“看起来靠谱”的，通知这些准备创业的年轻人带着行李到杭州来接受天使湾的面试。一天下来，通过面试的15个创业团队现场发钱，准备留在杭州做3个月的封闭式集中产品开发，而落选的15个团队则拿着天使湾给买的车票，打道回府。3个月后，11月5日，“聚变”第一期的DemoDay（展示日）在杭州万松书院正谊堂举行。15个经过三个月封闭式开发的互联网创业团队，50多家风险投资基金合伙人和天使投资人聚在一起，当堂过审。创业者把它们3个月来全力打造的产品模型和创意展现给投资人看，投资人则在其中寻找可供投资的项目。

我说，天使湾这个“聚变”项目是孵化器吧？

庞小伟说：“不，我们不是孵化器，我们是风险投资。不过，我们介入的更早，甚至在天使投资之前。我们是类似于美国湾区Y-Combinator 模式的风险投资。我们提供在线的、公开的项目提交机制，标准化的项目审核手段和标准化的投资模式，专门为创业项目的最早期的资金支持，并在项目开始成型获得后续的融资后就退出。”

“天使湾的生意如果说也是在卖点什么的话，我们卖的就是钱。一个创业项目如果获得了我们的认可，我们卖给他20万人民币，换回来8%的股份。”

可是，为什么说这不是孵化器呢？天使湾第一期“聚变”项目，也是把人请到你那里，你提供办公场地，你还帮他们做项目审核，给他们请业界高手来做讲座……

庞小伟说：“但是我不管他们吃住，不管他们到底怎么做。当天面试留下来的15个团队，现场签协议，现场给他们现金投资，他们拿着钱，自己去找地方住，自己去采买他们需要的电脑、服务器等任何必需品。他们自己去找饭吃。我只是提供一个让他们能时刻感觉到竞争压力的集体开发场地，我们天使湾也绝不干涉创业者对它们项目的任何决断。”

庞小伟坚持认为，让创业者保持“野性”非常重要，庞小伟说：“一个创业者自己三番五次之后才从工商局窗口把你的营业执照捧回来，跟孵化器的秘书把一切都办好了然后递给你是不一样的。当一个创业者在居民楼里边，自己找房东老太太把你小小的办公场所租下来时，她用那个非常怀疑的眼神看着你，觉得你的公司明天是要死掉的肯定要赖账的；跟他们把格子全部隔好装修好，说“这六个格子是你的”，这里边是有差异的。当你费尽口水连蒙带骗将一个二流程序员忽悠进来；跟他们介绍清华的CS硕士给你，这是有差异的。更要命的是在几个月后，发现你自己招聘的那人还不靠谱，你再纠结五天五夜，鼓起勇气和那家伙谈离职。”

庞小伟认为，对于创业者来说，创业过程中遇到的这些也许外人看起来很小很琐碎的鸡毛蒜皮的事，对于创业公司来说，和马化腾或者雷军去做一个几千万甚至上亿的并购项目所承担的压力和付出的身心是一样的：“如果在创业期没有这样的经历，将来也无法面对企业成长壮大过程中会不断遇到的各种困难。”

到底什么样的人适合创业呢？

关于这个问题，庞小伟认为，创业不是一份不一样的工作，不是一个Title更风光的职位。创业其实是一种生活状态。这么解释吧，当你在半夜睡不着的时候，你是在想着自己的项目更多一些还是女朋友更多一些？如果你是前者，那么也许你就具备了创业者的基本素质——创业是需要一些狂热的。

对于一个初次创业的创业团队，庞小伟有什么建议呢？

庞小伟说到，最经常遇到的一个不大不小的问题就是创业团队之间的股权分配问题。很多很多创业团队都是朋友+兄弟的团队模式，刚开始一起做事，谁也不好意思谈钱，每个人都全力付出，而且确实也没有任何经验来面对股权分配的事情。很多创业团队第一次谈股权的时候，往往是平均分配，两个创始人就55开，三个创始人就各三分之一。庞小伟说：“有的投资人看到这样的股权分配计划，会直接把这个项目忽略掉。”无论如何，创业团队要尽早选出自己的领头人（CEO），并由其持有多数股份，否则，没有投资人会对这个项目的未来保持信心。

现在资本市场上也拥有很多资金，很多创业项目也往往能很快融到数百万美元的资金，那么对于创业者来讲，是不是可以开始豪华创业，而不必再艰苦创业了呢？

面对这个问题，庞小伟跟我们简单算了一笔账：“你是一个创业老板，你拥有企业51%的股份，你可以给自己开1万块的薪水，如果你只给自己开了5000，那么相当于你自己给你的企业一年下来投资了6万元。对于一个创业公司来讲，如果你用这6万元用到市场推广方面，把你原本只能做到30万用户的业务做到50万，你的企业也因此在下一轮融资的时候从估值300万美元变成了500万美元，因此增加的200万美元的估值，对应于你51%的股份来说，相当于你的个人资产多了100万美元。用6万块人民币的投资换来100万美元的资产增加，那是相当划算的。”

虽然这只是一个粗略的比方，但是庞小伟说这个道理是没错的，投资人投资创业企业，就是因为他们相信创业公司会高速增长，投资人投入资金所持的股份会迅速增值。如果创业者同样坚信这一点（不坚信自己的业务能成长也不可能获得投资），创业者就会明白把尽可能多的钱变成公司资产，比当成工资发给自己，更有价值。因此，即使是以最贪财的角度来考虑，创业者都应该尽量以最低生活标准来给自己开工资。对于创业者来说，最大的财富来源是创业成功后的股份，而不是工资。

“创业很苦的，你一旦选择了创业，也许就意味着你必须全身心的投入到你的创业项目之中，需要你抛弃很多东西，你也许无法成为一个好的老公，或者天天能有空陪孩子戏耍的父亲，或者一个孝子。但是，创业也只是各种生活选择的一种，即不值得深化，也不应该恐惧他。我们知道，有的人为创业而生……”

……

你想创业吗？以下就是天使湾所提出的19个问题。问题没有标准答案，也不是答案越长越好。总而言之，你根据自己的想法去回答一下吧，我想看看这19个问题，对于你的创业梦想一定有帮助的。

1. 请提供每个核心团队成员的姓名、出生年月、籍贯、毕业学校、工作履历、在团队中担任的职责（必须详细）。若有博客、微博、人人，请 提供URL链接。若有值得一书的奖励，或特别成就，不妨也让我们吃惊下。

2. 团队成员是否主导或参与过一个或多个互联网产品（无论成败）？若有请提供产品介绍，产品链接及团队成员在其中担任的角色。

3. 你们几个创始人怎么认识的？认识多久？有否一起合作开发过项目？你们各自的成长经历及家庭背景是怎么样的？

4. 说说你们的项目。包括：你们做什么事情？你们想要解决什么重大的需求？你们怎么解决的？

5. 请举例你们产品最常见或典型的一个或几个应用场景。

6. 是否已有上线的产品或demo原型，若有请提供我们可访问的URL或下载地址。

7. 国内外有哪些同类网站，你们借鉴了谁？跟竞争对手最大的差别在哪里，你们为什么可以做得更好？

8. 项目的市场容量有多大，依据是什么？项目怎么赚钱，未来可预期的商业模式是什么？有没有政策风险？

9. 你们手中有什么特别的资源来促进和支持该项目？

10. 创始人中谁无法做到全职，为什么无法全职？若有人兼职，其可承诺的投入程度是怎么样的？

11. 该项目是否已成立公司？如果已成立，请提供公司名称，股东姓名，股份比例，公司注册资金和实际投入资金数额，期权池大小；如果还

未成立公司，请列出你们计划中的公司股东和股份比例，你们预留了多大比例的期权池？

12. 最近一份工作的薪水是多少？现在创业中的核心团队成员薪水是多少？如果天使湾投资，你们将为自己开多少薪水？

13. 项目现在有多少人？每月的开支大概需要多少钱？项目目前是否有收入，最近的月收入是多少？

14. 请提供网站最近月份的月独立IP数量、月PV数量。网站总的注册用户数量有多少？最近月度的活跃用户数量是多少？衡量一个活跃用户数的标准是什么？

15. 你们希望向天使湾融多少资金？最多愿意出让多少股份？

16. 你们所融入的资金将用于哪些方面？这笔钱你们能支撑多久？将达到什么目标？

17. 你们现在在哪个城市？如果我们投资，计划将公司设在哪个城市？

18. 除了资金，你们觉得这个项目最大的困难或障碍是什么？你们最希望得到那些方面的帮助？

19. 如果你们接受过外部投资，融了多少钱，融资前估值是多少？