開心訪談 專家支招密碼安全

2024-12-16 04:10:08

　　「我通常將網站分為4級：一般網站(例如論壇等)、重要網站(和自己真實身份掛鈎的網站)、常用郵件系統、交易網站。不同等級的網站使用不同複雜度的密碼。」中國著名黑客、中國CAD/CAM協會會員徐小榕日前在做客開心訪談時給普通網友支招。

　　12月26日消息，繼CSDN、人人、天涯等網站用戶帳戶信息相繼洩露後，今天凌晨有網友爆出新浪微博用戶資料也被洩露。數據顯示，共有逾476萬用戶帳戶和密碼被洩露。對於網上流傳的遭到洩露的kaixin.com的資料庫，安天實驗室技術發言人苗得雨在接受網友採訪時澄清：遭到洩露的是kaixin.com的資料庫，而非是kaixin001 的。因為kaixin.com用的與人人是一套程序，因此人人洩露了，kaixin.com自然也難免。」

　　如何才能確保用戶資料不被黑客洩露，打好信息安全這一場沒有硝煙的戰爭呢?上周末，開心網推出針對信息安全的開心訪談，請到兩位著名安全專家——安天實驗室技術發言人苗得雨與中國著名黑客、中國CAD/CAM協會會員、高級程式設計師徐小榕，就信息安全的話題和開心網友做了深入的探討和交流。

　　迄今為止，這次洩露究竟可能給用戶帶來什麼危害?在開心訪談中，苗得雨稱，這些丟失的數據中含有密碼和註冊郵箱。黑客很可能先去各個郵箱試一遍，看看是否有能夠進入的郵箱，然後再看看郵箱中是否有有價值的信息。最後在去一些其他網站，例如淘寶，試驗一下同樣的用戶名或密碼能否登陸，然後……

　　徐小榕認為，攻擊者可能會整理出有價值的帳戶，如VIP帳戶，藉機擾亂網站秩序，傳播虛假、欺詐信息，甚至直接進行網絡詐騙等等。也可能利用社會工程學反查用戶郵箱密碼，進一步竊取用戶隱私，假如用戶的郵箱密碼和網站註冊密碼相同，攻擊者就會進入用戶郵箱，對用戶造成更深層次的危害。

　　因此，在徐小榕看來，網站註冊密碼和自己的郵箱密碼最好不要設置成一樣的，這樣，即便黑客獲知了用戶名和密碼，也不會對用戶造成進一步的危害。他說自己通常將網站分為4級：一般網站(例如論壇等)、重要網站(和自己真實身份掛鈎的網站)、常用郵件系統、交易網站。如果覺得不同網站不同密碼太麻煩，可以設置幾個常用密碼，針對不同等級的網站使用不同複雜度的密碼。

　　針對用戶關心的如何設置密碼的問題，苗得雨認為，對用戶而言，最好通過數字、特殊字符和字母相結合的方式設置密碼，這樣密碼更安全更可靠，不能使用諸如生日和電話號碼等明顯的信息作為密碼。同時，網站方面也應該做好加密工作，例如通過MD5進行加密，確保密碼安全，不能使用明文保存密碼。