香港時代互聯12月17日報道：密碼、密碼、還是密碼……今天的現代人，離得開密碼嗎？信用卡要密碼、上網購物要密碼、刷微博要密碼、登錄OA系統要密碼、打開郵箱還要密碼……當妳的人生由壹串串的賬號和密碼組成時，煩惱和風險也隨之而來。該怎樣保護妳們呢？我的密碼。
　　
    No.1 現代人的密碼煩惱
　　
    因爲總擔心自己記不住，家庭主婦牟女士將生活中的所有密碼都記錄在壹個小本子上，然而壹天她外出購物回來後發現密碼本丟了，當街便暈厥了過去。類似的密碼煩惱還有很多。
　　
    長江、黃河、蘇州河輪番上
　　
    高女士是壹家大型國營企業的員工，登錄企業內部的OA系統，查看公司重要新聞、工作流程進度是她每天都必須做的事情。出于安全考慮，這家企業的OA系統要求員工每3個月必須更換壹次密碼，密碼不僅需要有壹定的複雜程度，而且不能與前三次的密碼相同。
　　
    高女士對此頗爲煩惱，每隔三個月，系統提示修改密碼時，她就要苦思冥想，找壹個和之前不同的密碼，可設置密碼不就是那幾個數字嗎？自己生日、兒子生日、老公生日、門牌號碼……換的次數多了，還真淩亂了。有幾次，她都因爲輸錯密碼導致賬戶被鎖，不得不拜托IT部的同事解決。後來，同事教了她壹個竅門，密碼的數字設置爲固定常用的幾位，後面則把“長江、黃河、黑龍江、蘇州河”輪番跟上，每三個月換壹條“河”，就算記不清，最多試錯三次，就搞定了。
　　
    丟壹個密碼 丟壹串網站
　　
    “7月末的時候我在某家電子商務網站的賬戶密碼就泄露了，直到現在才發現，期間沒有任何提示。而且手機和郵箱還被別人綁定了密保。”網友“心岸”最近比較郁悶，他在某個電商平台裏預存的350元被盜號人花得精光，網站裏的信息顯示，當時買了壹雙李甯鞋、壹個移動電源和壹張4G的存儲卡，上面的收貨地址填的是廣東北部某農場，連門牌號都沒有。
　　
    至今“心岸”仍然不知道，自己的密碼到底是被這家電商泄露了呢，還是因爲自己在其他網站的密碼賬號被盜導致的連鎖反應。因爲在不少網站上，他都用同壹個郵箱和密碼登錄。壹旦其中某壹個賬號密碼被盜，相當于這些網站的個人信息全部泄露。
　　
    No.2 密碼中暗藏的風險
　　
    不久前，壹家名爲“365社工庫”的網站公開販賣用戶隱私信息，500元可以買到100萬條個人信息。爲了體現網站的“能力”，“365社工庫”甚至提供反向驗證服務，讓購買者驗證自己的郵箱密碼到底有沒有被泄露。這種肆無忌憚的“黑客”行爲，引發人們對網站賬號密碼保護的深思。
　　
    社工庫破解技術高超
　　
    所謂社工庫，是指社會工程學庫，它利用已經獲取的用戶信息，對賬戶進行針對性破解。壹旦黑客知道壹個賬戶後，就可以得到其他更有價值的賬號。即使密碼不盡相同，黑客利用該密碼作爲關鍵字進行暴力破解，也會大大提高破解率。
　　
    “社工庫掃描與常規破解不同的是，它會刻意收集某個用戶的所有個人信息，譬如手機號碼、生日、買車、公司注冊等，將這些信息彙總到壹起後，黑客會利用工具進行綜合處理，通過排列組合各種信息的形式來破解賬戶密碼。”爲網站提供密碼安全服務的北京明朝萬達科技有限公司董事長王志海告訴《IT時報》記者，這種社工庫掃描破解的形式，成功率高的驚人，“破解率往往在20%以上，曾經有個案例，在每五張信用卡中，就有壹張能被破解。”
　　
    網站口令保護處于初級水平
　　
    事實上，國內各類網站在保護用戶賬戶密碼安全性方面都存在著各種問題。
　　
    今年5月，中國軟件評測中心聯合北京大學互聯網安全技術北京市重點實驗室發布了《網站用戶口令處理安全性外部測評報告》，在抽取了門戶、郵箱、電子商務、招聘類、婚戀類、遊戲類、論壇、博客、微博共9大類100個網站，對其用戶口令處理進行了安全性測評後發現，僅有8個網站采取了充分的安全措施對用戶口令做處理，更有85個網站直接拿到用戶的口令原文。
　　
    測評負責人之壹，北京大學互聯網安全技術北京市重點實驗室高級工程師龔曉躍表示，“整體上看，我國網站在用戶口令保護方面還處于壹個很初級的水平，亟待提升。”
　　
    中小網站成泄密高發區
　　
    “現在很多中小網站都是用開源平台來做的網站架構，安全方面存在著很多漏洞。黑客只要抓住壹個漏洞就能對其破解，甚至幾分鍾內就能爆庫。”王志海對記者介紹道。國內的大部分中小網站受硬件和軟件資源的成本限制，對防火牆、安全編碼等安全投入都不夠大，這使得黑客輕而易舉就能破解網站的數據庫和存儲的用戶密碼，即圈子裏所說的“爆庫”。
　　
    遊俠安全網站長張百川告訴記者，“現在很多大網站都在建立分站，頻道欄目也越來越多，有些頻道，比如郵箱登錄時安全措施做得比較好，但有些頻道做得比較差，用同壹個賬號密碼登錄這些頻道時，就會有可能帶來安全問題。”
　　
    同時，在密碼的存儲和保護上，許多網站也掉以輕心，導致被爆庫後黑客可以輕易獲取密碼。王志海指出，雖然現在很多網站雖然都采用了MD5這種流行算法進行加密，但做得非常簡單，沒有加入隨機值等保護形式，很容易被破解。賽門鐵克諾頓工程師張揚則表示，從以往的密碼泄露問題來看，有很多是因爲管理員將密碼以明文形式存放在數據庫裏面，當黑客攻擊網站獲取數據庫權限之後，對用戶密碼是壹覽無遺。
　　
    內鬼做亂也是重要隱患
　　
    “除了外部攻擊之外，業內很多網站泄密還是內鬼所爲。”王志海在接受記者采訪時，語出驚人。他表示，在壹些競爭激烈的行業內，企業內部人員流動性頻繁，有時出于行業間的相互競爭，某些從業人員會將掌握的數據庫信息倒賣給其他公司。而有些網站的內部人員爲了牟利，會將信息倒賣給做信息收費服務公司，導致用戶信息外流。
　　
    張百川了解的情況是，有時候內鬼並不壹定就是企業的內部人員，而是爲這些企業做外包的公司。
　　
    張百川講述了這樣壹個案例，陝西某家運營商將計費系統項目部分外包給了壹家當地的IT企業。結果實施該OA項目的IT企業某員工心懷不軌，白天正常上班，晚上利用自己獲得的訪問權限，將運營商的用戶數據庫下載到自己的電腦中，“最終這人拿到了陝西7個地市1394萬手機用戶信息，賣了3萬元，而買家靠這個數據庫群發短信，最終賺了壹百多萬。”
　　
    N 0.3 密碼的選擇題：便捷or 安全
　　
    高女士的煩惱是，爲什麽密碼總是要改？“心岸”的煩惱則是，同壹個密碼爲什麽不安全？在兩個人的煩惱背後，是現代人的密碼人生中，在便捷性和安全性之間的選擇難題。目前有不少解決這種密碼難題的方式，但同樣存在兩種選擇的糾結。
　　
    聯合登錄的利與弊
　　
    如今網民在登錄壹些網站時，往往可以直接使用微博、QQ的賬號密碼登錄，這被業內稱爲“聯合登錄”。京東商城的技術負責人向《IT時報》記者表示，聯合登錄采用的是壹種稱爲oAuth的技術，第三方網站並不能觸及到用戶的賬號信息，“當外部聯合登錄網站發生泄密狀況時，可以第壹時間關閉該泄密網站的聯合登陸方式來保證用戶的安全。”
　　
    張百川則認爲聯合登錄利弊參半。“好處是簡化了用戶注冊的過程，有些安全技術能力不強的中小型網站，通過聯合登錄的方式，相當于將自己的用戶密碼安全托管給了微博、QQ，從而避免從自己這裏泄露了用戶密碼的可能。但另外壹方面，如果壹旦微博、QQ的密碼泄露後，也會造成連鎖反應。”而上海衆人網絡信息科技CEO談劍鋒非常反對這種方式，他同樣擔心泄密後産生連鎖反應。
　　
    新的密碼認證方式或可行
　　
   事實上，盡管高女士的密碼保護方式略顯繁瑣，但在目前的技術水平下，還算是個不錯的保護方式。據記者了解，除了強制定期更改密碼之外，不少大型外資企業都給員工配備了動態令牌，讓其在登錄企業內網時使用。
　　
    安全寶是壹家提供安全檢測服務的企業，該公司聯合産品副總裁吳翰清則認爲，雙因素認證(雙因子認證)是壹個相對較好的辦法。雙因素認證在登錄時除了要求輸入用戶名和密碼之外，還會要求用戶輸入移動終端所收到的確認信息，“Google和facebook前些時都加強了這方面的功能。通過數據分析來確保登錄安全也是壹個方面，但這個方面大家做得還都不夠好。” 吳翰清告訴《IT時報》記者。
　　
    今年IT新銳之壹談劍鋒的衆人網絡提供的就是壹種采用時間同步技術的雙因素認證系統，由動態密碼令牌和認證軟件系統組成，“在用戶登錄驗證時，要輸入我們的動態令牌上隨機變化的動態口令數字。用戶的密鑰安全存儲，能夠防止用戶信息的泄露。而動態密碼變化無次序、無規律，能夠解決由密碼泄密導致的入侵問題。”京東商城技術負責人表示，正在逐步流行的二維碼和生物識別技術，將會是更加便捷和先進的身份認證技術。
　　
    國內將建立網站安全標准
　　
    中國軟件評測中心副主任、北京賽迪信息技術評測有限公司執行總裁高熾揚表示，由中國軟件評測中心牽頭承擔的信息系統個人信息保護標准體系建設工作，將會涉及相關標准和規範的建立。
　　
    中國軟件評測中心的工作人員告訴《IT時報》記者，該工作有了初步成果，總綱性的指導性標准已經獲批，12月底將正式發布，明年2月1日起正式執行。
　　
    該工作人員還表示，按照這個標准，他們通過第三方機構對網站的安全性和用戶個人信息保護進行評估，“評估打分後會公布出來，由此讓用戶了解網站的安全性和個人用戶保護情況，讓用戶了解、選擇使用更加安全的網站。”

　　十二月 岁末优惠季！

　　.COM 65HKD/年 .cn 96HKD/年 .HK只需166HKD/年 链结：http://www.tnet.hk/domain/index.net
　　 域名價格全港最便  全新推出.de .jp .kr 國別域名。選擇好的域名，重“新”開始

　　數字/英文.中國 全面开放注册。連結：http://www.tnet.hk/chinesedomain/

　　喜迎聖誕，網頁寄存勁優惠，喺半折基础上再半折 点击下面图片进入：

　　套餐勁優惠   
　　 企業電郵(300M)+網頁寄存(300M)+國際域名(.net/.com) =1HKD/日 链结：http://www.tnet.hk/special/hk-youhui.net

　　建立屬於自己的網站！时代互聨幫到你! 
　　 網店寄存，全港最低價，僅需99HKD。 
　　 免费安装論壇和網上商店。多种优惠套餐任你选：http://www.tnet.hk/vhost/vhost.php

　　付款永无忧 
　　 非港澳台顧客不用再為付費而煩憂, 
　　 時代互聨支持支付寶  快錢   paypal~

　　壹樣可以支付 
　　 系統自動調整匯率 
　　 付費不再而煩憂

　　更多資訊，歡迎登入www.tnet.hk