这几天,对电脑、网络方面稍有接触的人应该都知道CSDN社区密码数据库泄露的事。与之呼应的是没过两天网络上相继泄露出人人网、178、多玩以及其它几个传乐不太了解的网站的密码数据库。这些数据库,传乐都已下载,并很不幸地在其中的一个数据库里找到了自己常用的用户名和密码。
若对此事一无所知或想知道更多的详情,请自行Google或百度“CSDN 泄露”或类似关键词。传乐在这里仅给出针对此事的建议:
1、到金山设立的http://cs-test.ijinshan.com/security/ 页面上输入自己常用的用户名,搜索一下自己的这个用户名是否处于被泄露的数据库当中。
2、若发现自己不幸属于“被害者”之一,马上更改自己的关键账户密码(如网银、QQ、重要聊天工具、重要网站等),不要和以往使用过的密码雷同。同时,建议大家每一个网站都用不同的密码,以避免一损俱损的情况。这次密码数据库泄露之所以会带来损失,最重要的原因是很多人喜欢一个密码到处用,而这个数据库里包含了他们的注册邮箱地址,所以假如邮箱密码和被泄露的账号密码是同一个,这些人的邮箱就会被入侵;邮箱被入侵,假如还是个比较重要的邮箱,那还要丢几个账号就说不准了。
3、每个网站都用不同的密码,最大的困难在于记不住。所以传乐推荐Lastpass,其官网地址为lastpass.com。这个网站提供存储密码的浏览器插件,支持IE、Firefox和Chrome的各个版本。有了它,就可以让它帮你针对不同的网站账号随机生成密码、把密码存在里面,甚至让它在访问网站时自动登录,自己只要记住Lastpass的主密码即可。传乐本人目前就在使用。
有人可能会有疑虑:这样会不会不安全?如果主密码不幸泄露,那会不会所有的密码一次都没了?答案是任何事都不能肯定不会发生,但Lastpass丢密码的机率很小,因为它保存密码的方式都是加密的——在你的电脑上是加密的、在服务器上也是加密的、传输过程也是加密的。除了你自己以外,连Lastpass官方服务器上都不会有你的密码(有的只有经过加密后的结果,几乎没有破解的可能),即便黑客窃取,得到的也是毫无意义的加密后的数据。事实上,这次CSDN数据库泄露之所以会引起轩然大波,也是因为这个数据库完全未经过加密,全部以明文方式显示用户密码。
用Lastpass只要遵循一个原则:不要把自己的Lastpass账号和密码告诉任何人,同时这个密码最好完全独一无二、没有在任何其它场合使用,让外人完全无法通过分析你的资料来暴力破解。反正有了Lastpass你就只需要记住一个密码,复杂一点、难记一点也无妨。
如此,虽然我们无法阻止网站明文保存我们的密码或是哪一天将它们泄露出去,但至少这些密码都是随机的、每个网站还不一样,泄露了也不至于有太大的影响。
12月25日增补:就在这两天,又陆续传出天涯社区和腾讯QQ的账号密码数据库泄露的消息,看来这次大规模泄露不是偶然。说起来,传乐个人还觉得应该感谢这位泄露的人,因为是他揭露了这一脆弱的事实,不然大众们还会长期被蒙在鼓里,以为自己的资料没被公开泄露就是没有泄露。
12月29日增补:最近听说有些人的支付宝被他人登录,登录者很可能用的是上述一些网站泄露出的注册邮箱和密码尝试作为支付宝的账号和密码登录,虽然支付宝要提现、转账等还要经过重重关卡,基本不会造成实际损失,但是最好还是修改相关密码以免被冒名登录。另这两天京东网、当当网的账号密码数据库貌似也遭外泄,还是那句话——改密码!这里是另一个可以搜索自己的常用账号密码是否泄露的网址:http://amihacked.mijun.net/ 连密码都可以搜出来,这样可以进一步确认被泄露的账号是否属于自己。