这两天互联网上集中爆发了密码安全的问题。
从CSDN的密码泄漏开始,居然一个接着一个,根据网络上的报道,继CSDN在2010年9月前的部分会员用户帐号密码因为明文存储和被攻击盗取而被曝光之后,包括世纪佳缘、多玩网、新网、开心网等十数家知名网络公司的用户帐号和密码信息被窃取并在网络上明文发表。这几天网络上到处通过各种网盘、下载站、P2P下载工具传递着这些记载着数百万用户id、密码和email的文件。
对于已经发生的事情,我暂时不关心,因为反正它已经发生了。关键是,这次规模巨大的,影响面甚宽的密码安全问题,在今后会发生生么?各位网络用户应该怎么办?
1,互联网的发展,和互联网安全技术的发展是一个渐进的过程,很多年头久远的网站也许真的存在一些历史遗留问题,就是一些新兴的互联网业务也许因为工程师的水平、认识、责任心等区别也会有不同的安全漏洞被曝露。
2,我们不能要求每一个人住家的大门都和央行金库的门是一个标准。对于互联网服务我们也不应该要求每一个网站都提供全球最高等级的数据安全措施——他们应该保障安全,但那也是在他们的能力范围之内。
3,退一万步说,即使你家里没有安装防盗门或者出门没锁门,那也不是小偷可以随便进屋拿东西的理由。如果有人进屋拿了,那一样是偷盗,是犯罪。因此此次涉及面如此之广的id和密码泄漏问题,根源是谁拿到的这些密码,怎么拿到的?谁发布的这些id和密码?怎么发布的?
(顺便说,金山毒霸做了这么一个工具 http://cs-test.ijinshan.com/security/ 用来检测你的帐号是否存在于这些已经曝光的id密码列表里,这个比较好,只告诉你有没有,不告诉你别人的信息,推荐广大用户赶快去查询一下。如果你的email或者常用id出现在这个列表里面,则说明你的id和密码有可能被泄露了。)
4,任何传播着写id密码库的行为都从某种程度上对此次安全事故做了放大,对此,迅雷等下载工具已经表示要“全面屏蔽泄漏的密码信息的传播”,这一点我认为做的很好,就是不大及时。应该昨天就全面进行屏蔽。
5,所有涉及到的网站,应该静心重视一下自己的后台,自己存放的广大用户的数据的安全性。当然,像CSDN这样的中国第一专业技术人员网站、社区,爆出如此低级的明文存放密码的错误实在令人汗颜。好在CSDN第一时间发表道歉信并说明实际情况,没有推诿责任,没有文过饰非,我觉得这终究还是要给予理解的。
6,根据直觉和经验来判断,现在涉及的很多所谓“密码库”真真假假,更不乏小网站小论坛借助csdn密码下载之类的关键词来吸引流量,甚至是借助此次热门下载来传播病毒。在此,特别友情提醒各位网友千万小心那些要求你注册帐号后才能下载附件的网站、论坛,要知道很有可能因为这个,就反而把你的email和密码透露给了他们!
总而言之,根据之前很多网友做的抽样测试来看,已经暴露的一些id密码确实正确,那么如此看来此次密码事件已经关系到一个数量庞大的网民的网络安全的问题。
目前中国互联网发展这么多年来,互联网上的应用和服务丰富多彩,绝大多数都在互联网上拥有数个网络服务的帐号和密码。为了便于记忆,很多用户都会在不同的网络服务帐号下使用同样的密码。因此一个网站上的密码泄露既有可能导致被不法分子去尝试其他网络服务的登录。因此,零零发在此再次提醒各位网民,请利用上面提到的这个金山毒霸提供的查询工具,查询你常用的Email和网上id是否存在于已经曝光的id密码列表之中,如果在,建议你尽快修改你这个Email关联的所有互联网账户的密码。虽然非常麻烦,但是涉及到诸君自己的网络生活,请大家默默的在心里对发布这些密码信息的混蛋竖一下中指的同时,耐心的去修改密码吧!
-----关于个人密码安全设置的一点个人建议:
2,不要以为你以前设计的密码很复杂这次就没事儿,这次是密码明文泄漏,因此和你的密码复杂程度没关系。请更换密码。
3,如果你以前的密码没有分级设置,正好借此次事件,重新整理、规划你的密码分级。个人建议每个人至少要有三级密码:
a,顶级密码:不超过3个的私人Email账户的专属密码,最好只用于一个Email帐号,比如你的Gmail帐号。这个密码长度在12位以上,要有最高强度的设置防止暴力破解。这个密码用大家的脑子牢牢记住,绝不用作他途,绝不保存入cookies,绝不写在本子上。
b,网银密码:鉴于钱财对大家的重要性,对所有银行、支付相关的服务请单独设置一级密码。包括你的网络银行帐号密码,淘宝、支付宝密码和支付宝支付密码等。此类密码最好足够复杂、随机。密码长度在8位以上,用大小写字母+数字+一个特殊字符来组成。
c,常用密码:这一级的密码可以有两、三个,密码可以通过“常规复杂密码+区别代号”来设置。这个密码用于你大多数正常的网络服务,邮箱帐号的登录。密码长度在6位以上,大小写字母加数字。利用上面个人建议第一条提到的方法设置并记忆就好。
通常的,你还可以有一个零级密码,就是你无差别注册一些实验性的帐号,或者完全无足轻重的论坛帐号,马甲帐号,可以就是用常规的数字或者字母,或者上面我提到的一句话的首字母来设置。多简单也无所谓,比如你设置成123456,也行。
4,如果你不是安全专家,不是技术人才做研究,请你不要下载和传播现在网络上正在流传的各个网站的id密码库,这对大家一点好处都没有,反而助长了包括你自己在内的普通用户的个人隐私被泄露被不法分子利用的可能性。如果你只是好奇拿到了某个不知道什么人的id和密码,你以偷窥的欲望去登录,说不定还会给你自己带来一些法律上的麻烦。
总而言之,事已至此,这次我是真心希望有关部门能够尽快介入,尽快查处源头,保障诸多网民的互联网信息安全。
同时这次事件也提醒我们,我们所面临的互联网数据安全形势,实际上还很严峻。互联网各个公司的技术发展不均衡,互联网安全领域攻防双方还在各种博弈,此时我们如果要做任何有可能涉及众多网民个人信息方面的决策,需要更加谨慎。
没有评论:
发表评论