姚喆中将的后人:密码,一定要HOld住

互联网“泄密门”引起连锁反应，密码安全问题再次被高度关注
密码,一定要HOld住
图/东方IC
黑客盗“密” 图/东方IC
图/CFP 　密、密、密
羊城晚报记者  刘薇
密码，是现代人生活中非常重要的一个工具，邮箱、银行卡、网站注册账户……密码无处不在，丢了密码，意味着丢失了非常重要的个人信息，会影响到生活的方方面面，严重的会威胁到个人财产安全。然而，从去年12月底开始的一场席卷互联网的大规模密码泄露事件，不仅暴露出互联网安全问题，也暴露出了个人在密码设置上的许多风险。这个属于个人的秘密数字，你真的觉得它秘密和安全吗？
“泄密”岁末横扫互联网
事件要从2011年12月21日说起。当日，国内最大程序员网站CSDN遭到黑客攻击，大量用户数据库被公布在互联网上，其中包括上百万个注册邮箱和密码。事件发生后，CSND迅速报案，并向用户致歉，提示修改密码。
事情并未就此终结。12月22日，更多网站被曝卷入“泄密门”，网上曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等多家知名网站的用户数据也被泄露。12月25日，天涯发出致歉信，称4000万用户隐私遭到黑客泄露。尽管随后人人网、开心网等多家网站纷纷发布声明，表示并未发现用户数据泄露状况，但都建议用户账号密码与其他网站相一致的尽快修改密码，以免因一个账号被盗而引起连锁反应。开心网、多玩网、新浪、腾讯等多家网站也都陆续发表声明，建议用户更换登录密码以回避被盗风险。
在用户数据最为重要的电商领域，也不断传出存在漏洞、用户泄露的消息。漏洞报告平台乌云去年12月28日发布漏洞报告称，支付宝用户大量泄露，被用于网络营销，泄露总量达1500万-2500万之多，泄露时间不明，里面只有支付用户的账号，没有密码。此外被卷入的企业还有京东商城和当当网，其中京东及支付宝否认信息泄露，而当当网则表示已经向当地公安机关报案。
事件愈演愈烈，终于“传染”到了最为要紧的金融领域。去年12月29日中午12时28分，互联网资讯平台“挨踢客”负责人在微博上爆料称，“传国内多家银行用户数据泄露，但目前无法核实数据真实性。”根据网友提供的部分信息截图，泄露数据的银行包括交通银行、民生银行、工商银行等，数据包含了用户的姓名、卡号、密码等敏感信息。其中交通银行7000万，民生银行3500万。尽管这一事件被相关银行迅即反驳为不实信息并发出强烈谴责，称必要时会追究造谣者刑事责任，但仍在互联网上引起了不小的震荡。
业内人士称，这一系列事件是近年来最大规模的密码泄露事件，引发了广大网民的恐慌，纷纷连夜修改网上账户和密码。尽管事件最终以涉案黑客被抓而告一段落，但已在人们心中留下了“阴影”。
密码设置风险多
由于牵涉网站众多，且很多网民在多个网站均使用相同的账号和密码，虽然修改了部分，但仍然不能确定自己隐私是否安全。而“泄密门”的一个正效应则是引起了大众对密码设置的高度关注和重视。
大量用户数据被公开后，网络安全人士分析发现，国内网民的密码安全意识十分薄弱。譬如CSDN高达640万个账户信息被曝光后，有人对此进行了统计，结果显示有239万人的密码和别人重复。在所有密码中，最简单好记的“123456789”使用率最高，有23.5万人在使用；其次为“12345678”有21万多人使用；“11111111”有7万多人使用。使用相同数字或者相同字母如“aaaaaaaa”等安全性极差的密码的网民大有人在。与123456789相比，以小键盘区竖向排列的147258369就算是复杂一些的了。
另外一个很严重的问题是，每个人在多个网站间密码的相同记忆问题，也就是说为了便于记忆，很多人在不同网站会用同样的用户名和密码，一旦一个网站的用户信息泄露，等于其他网站也被泄露在外。记者做了一个随机采访，发现不少人确实存在这个问题，譬如会将不同网站的注册邮箱用户名、登录密码设为一样，甚至连银行网银、第三方支付账户的用户名和登录密码都设为一样，更有甚者，为了好记，把银行卡密码都设为和网银密码相同，一旦密码丢失，资金安全将受到极大威胁。
不过，不少人也对此感到苦恼，原因就是使用习惯和好不好记的问题。“如果我一个邮箱设一个登录名和密码，一个银行卡就单独设一个密码，说实话到最后我都搞不清楚哪个密码是哪个了，会很混乱。完全记不住啊。”白领李小姐的苦恼相信也是很多人的苦恼。
对此，网络安全人士表示，设置一套专属于自己的密码规则可破解此类“难题”，这就需要个人开动脑筋了。
中国版
“最弱”密码
据统计，中国用户最常用的十大简单密码是：abc123、123456、xiaoming、12345678、iloveyou、admin、qq123456、password、root、wang1234。
在中国网民常用的TOP25“弱密码”中，有9个与国外网民使用习惯完全相同。其中，除password、abc123、iloveyou、qwerty等全球网民通用“最弱密码”外，其余均为数字组合，比如“666666”和“888888”这样的吉利数，几乎是所有中国黑客密码字典中的必备项，而“5201314”（我爱你一生一世）显然被国人寄予了浓厚的感情色彩，为中国特色“最弱密码”。
国内用户还喜欢用生日和手机号当做密码。研究人员不止一次看到类似19850804、13560898这样的密码。此外，“a1b2c3”和“p@ssword”这类组合密码看似复杂，其实也在黑客重点关注的密码列表中。
银行保密
没那么“弱”
尽管前段时间的银行密码泄露纯属谣言，但还是引起了不少用户对银行密码安全性的关注和质疑。对此，银行人士表示，出于防范风险需要，金融机构内部的操作系统均为全封闭式设计，与互联网络系统处于绝对的“隔绝”状态，所以很安全，持卡人不用太担心。只要持卡人日常做好安保措施，不要轻易泄露自己的账户信息和密码，资金安全还是很有保障的。并且，现在正在大力推广的芯片卡，其密码更是采用了最为先进的加密技术，相比磁条卡而言被破解的难度大大加强，有的芯片卡还有自毁功能，当被非正常读取时，芯片卡自毁，可有效保护持卡人信息和资金安全。
在日常安保手段上，基本上各大银行都会有一个信用卡的后台实时监控系统，一旦发现持卡人有非正常交易，譬如突然出现大额交易，违反日常消费习惯的交易，试探性小额交易时，银行都会有专人给持卡人打电话核实交易的真实性，并作出安全提醒。而已经非常普遍的“账户信息即时通”服务，可以在持卡人的卡片有任何资金变动时立即发出短信提醒，令持卡人随时掌握自己的账户信息。
知多D
资金账户密码保护措施
动态验证码：不少银行此前都推出了动态口令卡，针对那些没有开通专业版网银的普通用户提供一份有几十个密码的卡片，每次使用一个密码，这些密码可与银行后台对应，用过后便失效。这是银行早期的一种防范措施，目前已演变为动态口令验证，如发送随机验证码短信到用户手机，为一次性密码，这种方法已被银行、第三方支付机构广泛采用。
U盾：也称usbkey，是一种用于网上银行电子签名和数字认证的工具，它内置微型智能卡处理器，采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名，确保网上交易的保密性、真实性、完整性和不可否认性。是目前银行网银普遍采用的一种物理性防范措施。
宝令：是支付宝和中国联通联合推出的一款采用动态密码的安全产品。屏幕上显示6位数字，每分钟生成一个新的密码。付款等操作时需要输入，保护付款确认收货等操作时的资金安全。
专家建议
怎样设密码才安全？
据安全专家介绍，6-8位数的英文或数字的设置只是个初级编码，无论怎么不规律，对于专业技术人员来说，几十秒钟就可以破译。在密码中加入区分大小写的字母以及特殊字符是最为安全的；其次，网银、网上支付、常用邮箱、聊天账号单独设置密码，切忌“一套密码到处用”；按照账号重要程度对密码进行分级管理，重要账号要定期更换密码；还要避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息。
此外，千万不可将密码记录在电子邮箱或电脑中，这会有极大的泄露危险，可将密码记在一个本子上放在家里，但账户的名字最好不要过于明显，以防家中被盗。
银行密码是采用了特殊的加密技术，一般来说除了使用者本人，任何人包括银行内部员工都无法知道这个密码，银行系统也显示不出密码。交通银行信息技术管理部总经理麻德琼在作客网站参加访谈节目时就强调银行卡“泄密”纯属谣言，不必特意因此修改密码；同时他指导用户如何保护账号和密码—————密码设置分两种：一种是网银密码，建议采用字母、数字和字符组合；一种是在ATM（自动柜员机）、POS机和银行网点使用的密码，必须是6位数字，这就要避免六个“8”、六个“6”这种简单密码，也不要使用个人生日。
他还建议，银行密码应与其他网站密码相独立，且要经常更换。如果网友怕换得太多记不住，可以用“a代替@”这种简单方式来转换。不过，银行密码也不是100%安全，最大的威胁是钓鱼网站和木马病毒。他表示，用户必须做好病毒防范，不要在可疑网站上输入银行密码。
也有网友支招，如果一定要用生日等来做密码，可以用亲人的生日或重要纪念日等，不要用自己的，这样不但方便记忆，也能拉近亲情，一举两得。而身份证、银行卡等重要证件、卡片千万不要放在一起，避免失窃后被推算出密码。
Tips
密码设置小窍门
1.密码长度最好在8位以上，越长的密码运算难度越高，强度越大；
2.安全的密码最好由字母、数字和符号组合而成（至少包含其中两种组合）；
3.有一套自己的密码设置规则，比如，设置六位数数字密码时，可选择一个好记的“数字+字母”六位组合，再根据手机按键上的字母去对应同一按键上的数字，从而“转换”成一个纯数字的六位数密码。
这样的密码设置规则只有自己知道，即使银行卡被盗用，对方也很难猜到。
刘薇
（授权转载请务必注明来源“羊城晚报”）