分类
信息技术

密码门泄漏内幕分析与个人应对措施

事件回顾

想必稍微关注互联网的朋友都知道了最近的国内密码门泄漏事件。最初是程序人员经常使用的CSDN网站被黑客公布600万用户名和密码,而且这些密码都是明文存储!这种玩技术的被技术玩的事情有如接生婆把自己家媳妇接生坏了的感觉。

紧接着,多玩网、7K7K、人人网、178、猫扑等网站也疑似“不幸”中招,直至这两天又有国内最著名的天涯论坛4000万用户密码泄漏,达到网上用户信息密码泄漏的新高潮,目前甚至一度传闻新浪微博的用户密码和京东用户信息也遭泄露。

从这一系列的密码门泄漏事件可以预料,精彩绝非到此为止,土木坛子甚至估计将来某一天,新浪微博、腾讯微博、淘宝等账户都可能将遭泄密,正如”不要相信免费”的真理一样:”互联网上没有秘密”,尤其是天朝这块神奇的土地上更是如此。

内幕分析

从这次一系列泄漏事件事件的特点看,显然是一次有组织的活动:都是大型网站说被黑客攻击,事后都说是2009年前采用明文存储。泄密事件真是如此简单吗?其中没有内幕吗?

如果单从技术上来看,大型网站在2009年还采用明文存储密码信息显然不合常理,何况第一个被黑的网站是“专业”的程序员网站CSDN,这只能说明,肯定不是技术方面的事,很可能有政策监管方面的问题,虽然也不能排除网站建设人员另有所图的可能。

有网友透露:“2010年初,某部门要求各大网站上交用户明文密码库,以方便监控国内用户在墙外网站的帐号,谷歌拒绝。之后某部门开始使用明文密码库扫描Gmail,被谷歌发现,随即决定退出中国。随后谷歌迅速部署并面向普通用户推出了Authenticator两步验证。”这条信息的真实性自然难以考证,但即便是阴谋论也并不是毫无道理。

而泄漏的密码选择在这个时候爆出来,并且是分批次地公布,显然另有所图,为什么不在当初2009年左右就公布呢?而选在2011年底,难道真的2012要来临了?密码泄露,可以得出一个最显著的结论:国内各大网站保不住用户信息——无论它是如何宣称自己的技术有多么国际领先。

而最近各地的微博客网站正在逐步推进实名制,一想到这次大规模泄密事件,谁还有信心去进行微博实名认证呢?新浪和腾讯微博真的能保护住用户的信息吗?就算这些运营商想保住,其它神秘力量会不加“指导”吗?因此从这些泄密事件的动机,不难让人联想到与微博实名认证的关系。

事件影响

原来的360和腾讯的隐私之战,还只是两个公司之间的事,而现在更多幕后的东西正在浮现,让网民们不得不相信这一不愿意接受的事实:天朝的网络中没有用户隐私而言,不是技术的原因,而是某些神秘力量的原因。

另一方面,国内的互联网从业者,将来可能面临更大的生存压力。至少能放心使用国内网络服务的人还会有那么多吗?正如有网友在Google+上表示:“这次国内网站大规模的密码库泄漏让我非常深刻的明白一件事,那就是任何墙内的东东都是不靠谱的,不管是不是最技术雄厚的公司,还是小团队。只要是围墙里的就不会有绝对的信任。”

应对措施

如何知道自己的用户信息和密码是不是遭泄漏?借助已公开的数据库,众多技术人士已经做出了在线的查询方式,例如:查询1查询2,……查出来中招的結果也不必慌张:“出来混,迟早要还的”。无论密码是否已遭泄漏,作为一名普通网民,都应对此事件采取措施,亡羊补牢,为时不晚。

虽然我个人曾经在人人网上回复我的朋友:“我不怎么使用国内的网络服务”,我也对我的朋友表示过:“我不怎么用QQ”,但对大多数人来讲,完全不使用国内的网络服务毕竟不太现实,那如何应对这种复杂的网络环境呢?如何保护住自己那赖以生存的密码呢?关于此类问题,月光博客的个人密码安全策略和白板报的怎样上网才安全等众多优秀博文都做了非常好的总结,总的原则即:对密码进行分级设置管理。

在这里强调补充两点:

  • 一定要将国内网络服务和国外网络服务的密码分开设置;
  • 最高级别最重要的邮箱使用Gmail,虽然并无绝对保险的密码和网络服务,但Google相对值得信赖,事实胜于雄辩。

我们不想做坏人,可是有人想拿我们的个人信息做坏事。我们都立志做一介良民,这与个人信息和隐私权神圣不可侵犯并不矛盾。

“密码门泄漏内幕分析与个人应对措施”上的52条回复

不是国人隐私概念差,是那个神秘力量在左右网络!!面对那个神秘的力量,密保技术再雄厚的公司也只能缴械

这个事儿越闹越严重了,黑客还真是无处不在,你不觉得其实他已经来了,但是这就是互联网发展的趋势,有白便会有那些技术更高的黑。
ps:今儿图片再次挂了,吼吼……

博主的文章分析得很深度,很到位。原来Authenticator两步验证是这么来的。其实我不怕密码丢的,根本就没再网络上放什么重要的信息,一些重要的都放在Gmail和Gdocs。

查了下,爆在人人里了,虽然只是注册那几天登了几回,后来一直没上,但也很烦,有彻底删除人人账号的方法么?

我不是这样认为,我认为是神秘部门“肾查”的要求才导致明文存储,然后又是这个原因,导致黑客故意放出这些密码,密码早就被获取了,只是以前没有这个必要公开而已——不是每个人都会把自己知道的事情公布的。

gmail安全是安全,但是哪天被方校长彻底封杀了,访问起来会比较麻烦。
不要说什么翻墙工具,那些东东不会嗅探你的隐私?各种vpn服务也不一定都靠得住,到时钱付了,用不了就竹篮打水。

是的,从某种意义上讲,整个互联网上都是赤裸裸的:就像每一个穿得严严实实的人走在大街上都能被人剥得一丝不挂一样,所以个人信息隐私权得到尊重和保护不是一件马虎事,包括在网上。

我都懒得改密码,但是我在很多网站都有注册确是不争的事实,实在是好动,什么都掺一脚……
希望自己的密码别被泄露。不过泄露了也不怕,反正也没什么。

看来我目光还不够深远啊,没把这么多事件联系起来。现在就如此,以后各种实名制全部实施后又该是怎样的环境?无处不是监控器,若你做得好又何必怕民众说三道四?恐怕你天朝自己都知道自己做的很垃圾吧?各大事件表明某部门那些领道不只是SB,还是2货,说的话就像只读过小学一样。

回复 小七 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注