中國互聯(lián)網(wǎng)的十二月大災(zāi)變

中國互聯(lián)網(wǎng)的十二月大災(zāi)變

緊接著51CTO、CNZZ、eNet、UUU9、YY語音、百合網(wǎng)、開心網(wǎng)、人人網(wǎng)、美空網(wǎng)、珍愛網(wǎng)等眾多網(wǎng)站也都陷入用戶數(shù)據(jù)泄漏丑聞，包括CSDN、人人網(wǎng)、新浪微博、QQ郵箱、知乎多個(gè)網(wǎng)站已經(jīng)在消息披露后提升了安全等級(jí)，提醒可能被波及的用戶更改密碼。僅現(xiàn)在已經(jīng)確認(rèn)被波及的用戶規(guī)模已經(jīng)超過千萬，本來大家都在在暖氣房為年終報(bào)表、業(yè)績(jī)數(shù)據(jù)里奔忙，現(xiàn)在不得不面對(duì)可能存在的未知威脅，并且你對(duì)威脅什么時(shí)候到來完全一無所知。連環(huán)泄漏像是有心人刻意為之在兩天內(nèi)，先是CSDN緊接著是多玩網(wǎng)，超過十家網(wǎng)站紛紛爆出用戶資料泄漏丑聞，這顯然是一起經(jīng)過嚴(yán)密策劃的事件。策劃者很好把握住了用戶的心理，沒有選擇一次性全部放出而是分批放出，顯然是想要拉長(zhǎng)系列事件的關(guān)注度。暫且不論那些未被證實(shí)的泄密網(wǎng)站有多少屬實(shí)，僅就現(xiàn)在披露的數(shù)據(jù)已經(jīng)引起了非常大規(guī)模的影響。這些大型網(wǎng)站通常已經(jīng)有三年以上的歷史，期間有機(jī)會(huì)接觸用戶信息的程序員不計(jì)其數(shù)，是否有泄密可能根本無據(jù)可查，更談不上什么責(zé)任認(rèn)定跟追究了。即便是報(bào)警也只能算是策略性行為，起不到太實(shí)質(zhì)性的作用，在事件策劃者自揭謎底之前，沒有任何一個(gè)網(wǎng)站敢說自己是清白的。事件策劃者既然敢曝露如此多的用戶數(shù)據(jù)，必然做了足夠多的自我保護(hù)措施，確保沒有人能夠找到他們的真實(shí)身份。至于策劃這一事件究竟是為了什么，顯然目前還沒有清晰的答案，也許是為了攻擊競(jìng)爭(zhēng)對(duì)手，也許是為了轉(zhuǎn)移大家的注意力，也許只是惡意黑客的玩笑而已。對(duì)互聯(lián)網(wǎng)的影響遠(yuǎn)比想象中更深刻“我無法想象這些大網(wǎng)站無法保障我的信息安全，我的郵箱、支付寶、QQ都使用了相同的密碼，這意味著黑客可以肆意去攻陷我的在線帳戶”，這段話正是大多數(shù)普通用戶心理的真實(shí)寫照，在他們看來網(wǎng)站保障用戶信息安全是理所當(dāng)然的義務(wù)，普通用戶可能會(huì)對(duì)在線服務(wù)失去信心。問題的核心是沒有人知道自己是否受到影響，普通人并不會(huì)像程序員建立數(shù)據(jù)庫導(dǎo)入SQL文件然后查詢，也不知道自己日常使用的網(wǎng)站資料安全是否完備。通常被曝光的數(shù)量往往遠(yuǎn)大于真實(shí)存在的數(shù)量，沒有人知道自己的帳號(hào)、密碼、電子郵件、信用卡密碼會(huì)不會(huì)被放在信封。這些帳號(hào)信息可能會(huì)對(duì)用戶的關(guān)聯(lián)帳戶產(chǎn)生巨大危害，并且這樣的危害基本是無法阻止的，因?yàn)榇蠖鄶?shù)人對(duì)郵件使用了相同密碼，你如果能夠通過登陸及郵件更改密碼，那么恭喜你，因?yàn)槟切阂夤粽咭部梢浴８蟮奈：κ?，泄漏的用戶?shù)據(jù)可能被有心的黑客用作建設(shè)密碼破解數(shù)據(jù)庫(彩虹表)，幫助惡意黑客們更有效攻陷在線帳戶。甚至他們會(huì)基于此建立更有效的方式，利用社會(huì)工程學(xué)來突破傳統(tǒng)保護(hù)系統(tǒng)的封鎖。怎樣的密碼才是更安全的?網(wǎng)友對(duì)開發(fā)者門戶CSDN泄漏的數(shù)據(jù)進(jìn)行了分析，發(fā)現(xiàn)排名前三的用戶密碼是“123456789”、“12345678”、“11111111”，這三個(gè)弱密碼在泄漏密碼中的占比高達(dá)10%。考慮到用戶密碼的的巨大差異性，這已經(jīng)是一個(gè)非常高的比例。弱密碼是指簡(jiǎn)單容易被破解的密碼，而且這還是在業(yè)內(nèi)的開發(fā)者門戶網(wǎng)站，在普通網(wǎng)站使用弱密碼的用戶比例可能更高。當(dāng)然，作為用戶有義務(wù)設(shè)置更高強(qiáng)度的密碼，但是這些密碼居然成功通過了CSDN網(wǎng)站的驗(yàn)證，大多數(shù)網(wǎng)站都具有弱密碼檢測(cè)功能，提示使用弱密碼的用戶更換更高強(qiáng)度的密碼。這意味著大多數(shù)國內(nèi)網(wǎng)站的弱密碼檢測(cè)功能都是存在嘗試缺陷的，甚至僅僅是判斷字符數(shù)而不包含必備的常規(guī)判斷。那什么樣的密碼更安全?數(shù)字、大小寫字母、符號(hào)相互組合，字符數(shù)越多越安全，但前提是不要給日常使用帶來太多障礙。考慮到大多數(shù)網(wǎng)站已經(jīng)配置記憶登陸功能，這并不是一個(gè)特別大的障礙。如果可能的話，重要帳戶使用單獨(dú)的密碼，盡量定期更改敏感密碼給互聯(lián)網(wǎng)創(chuàng)業(yè)公司的安全警鐘CSDN資料泄漏事件中，受到威脅的主要是早期注冊(cè)并且沒有更改過密碼的用戶，多玩網(wǎng)方面給出的回復(fù)大致相同。這樣的情況在大多數(shù)創(chuàng)業(yè)公司存在，這次事