最近搅得互联网人人自危的大规模密码泄漏事件起于程序员社区csdn的600万密码被曝光在网上。其实许多非程序员在这个网站应该也有帐号,比如我这样为了下载某个软件注册的帐号,这种帐号我也就没有在意。

后来我下到一份据称是人人网的500万帐号和密码,经过我随意测试,部分帐号和密码能够顺利登录邮箱,部分能够登录人人。经过搜索,其中没有我的帐号。

我真正中枪是天涯、开心网和多玩——这三个网站中我使用了不同的帐号和密码,天涯的帐号是多年以前注册的,几乎没有发言,而多玩的帐号同样是为了下载,但是开心网中有大量的个人信息和关系网络。当你发现自己的网络帐号能够直接在网上检索到明文密码时,惊讶程度不用我形容了。

05年之后我曾经花了很大一段时间在网站制作上,后来还花了一小段时间学习黑客知识。即使是在05年,网络上随处可及的课外作品级的网站程序用户信息都至少是MD5加密。因此,多个网站声称的09年以前的用户密码明文存储在技术上毫无理由。

明文存储是什么概念?互联网用户设置一个密码不仅仅是防止其他互联网用户倾入自己的账户,同样必须防范互联网运营商利用自己的信息——运营商虽然必然能够得到用户的数据库,包括用户的信息、关系和生产的内容等,但是用户密码必须是一个不可人为触及的禁区——数量众多的用户往往在多个网站使用同一个用户名和密码,因此利用社会工程学,得到其中一个用户名和对应的密码就有极大可能侵入用户其他所有的帐号。已经有人报告由于自己在人人网的邮箱是QQ邮箱,并使用了QQ相同的密码,因此各种帐号被一锅端了。

如果去查阅关于密码安全的文章,它们通常会告诉你要使用各种复杂密码甚至随机密码,并经常更改密码。那些对网络安全极度敏感的用户确实是可以使用例如“XP1ZKm#2”这种随机生成的密码,但对于大部分互联网用户而言,使用复杂密码并借助密码管理工具的互联网体验要难倒他们。因此,有经验的互联网用户通常会使用四个等级的密码。

第一个等级是只读密码。浏览某些网站提供的内容(包括下载)需要注册帐号,除此之外你不发表内容,也不提交敏感的账户信息。这一类型的网站一般使用同一个用户名(或邮箱)及密码,即使密码被盗或者遗忘,重新注册帐号即可。

第二个等级是写入密码。用户产生内容的web2.0服务属于这一类型的,而那些没有用户关系网的早期博客网站也属于这一类型,因此第二等级其实也可以细分为有关系网的和无关系网两个子等级,前者包括豆瓣、人人、微博等网站,而后者包括博客大巴等生产内容的网站。

第三个等级是电商密码。电子商务网站如淘宝、京东等网站记录了用户的敏感信息,例如家庭地址、购物信息甚至银行帐号,有的还有可以用来购物的电子现金。

第四个等级是资金密码。所有涉及网银或支付宝等直接资金流转的密码都属于这一最高等级的密码。

除了第四个等级,前三等级的帐号和密码在同一等级中的各种互联网应用中使用是可以理解并且相对安全的。但是这一切在密码明文存储面前都是浮云。无论如何都不能够从技术角度来解释为何这么多的网站会不约而同使用明文存储用户密码,所以我们不得不用阴谋论。

不少人相信,此次大规模的密码泄漏的源头是某政府部门。他们同时愿意相信,某部门拥有如此多的密码的原因不是因为他们做了黑客,而是他们要求各家网站上交用户帐号和密码以便监控。

另一个事实是,某部门的内容监控其实通常是直接在网站的服务器端进行的,换成人话就是:所有经过国内服务器的内容对某部门而言是几乎是透明的。那么某部门为何还需要用户的帐号和密码?

发表评论

*