你的密码安全吗

redraiment, 2009-08-12

想个好密码不容易

　　Web 2.0时代需要用户主动参与，大大小小的站点都需要你注册登入（连期末课程设计也视此为最低指标）。密码原则上是一个烂在肚子里的字串，只有自己知道且容易回忆。容易回忆就意味着这一串字符对自己来说具有某种意义，但真要找到一串字符既有意义又不广为人知还的确不太容易。于是很多人选择迁就“容易记忆”，比如下列几类常用的密码：

1. 类似111111、123456等潜意识型的密码；
2. 和帐号一样或者稍做修改；
3. 用自己（或家人）的名字、生日、身高、手机号码等；
4. 用Ilovexxx，xxx520等，臭屁点的人还会用woshitiancai之类的密码。
5. ...

　　还有很多类似的密码，有兴趣的话可以下载一些“黑客字典”来参考。总结起来，大多数密码都是在自身或周边取材，或经过简单的变化。因此，破解密码的过程其实也就是了解对方的过程，如果我对你非常熟悉，了解你就像了解我自己一样，你的生活习惯、喜好厌恶我都清楚，甚至你在想什么我都知道。那才你的密码不就等于想像一下自己会设什么密码（黑客们觉得这样很有趣，反感暴力破解）。而在这个开发的Web 2.0时代，通过人肉搜索收集个人信息可谓轻而易举。

　　所以，提高密码的复杂度可能并不是简单的组合数学问题，尤其是那些心里藏不住秘密的人。

驻扎的网站是否够安全

　　即使找到了一个安全的密码，也不过是万里长征的第一步。你驻扎站点的安全性又如何呢？每个时期都有其代表性的漏洞，我刚接触计算机时SQL注入漏洞就像今天的XSS一样风靡，即使是《黑客防线》等专业黑客站点也一样难幸免。黑客在取得服务器的绝对权限后，所有用户的密码都成为了明码。

　　这并不是问题的关键，真正糟糕的地方还是在人本身：人都是有惰性的！你可以检查一下自己的密码：QQ、邮箱、网游……是不是用的都是相同（或相似）的密码？取得其中任何一个，几乎就是一卡通了。

　　用户尚且如此，很多站长也同样是懒人。有多少中小型站点是按默认配置来运行的，哪天你无聊完全可以拿/data/dvbbs7.mdb这个路径去匹配动网论坛，指不定就下载到后台数据库。

　　碰到一些霸道的站点，下载个文件还得注册，对于这些一次性光顾的网站，你注册时得多留一个心眼了。

这些站点值不值得信赖

　　纵使访问的网站铜墙铁壁，这些站点值得信赖吗？我们能放心将自己的数据或信息交托给他们保管吗？Google喊出“不作恶”的口号，不管这是不是商业口号，但这不是一件很可悲的事吗：不作恶原本就是一个人的基本素质，却需要如此大肆宣扬。就和褒奖诚实守信、拾金不昧等传统美德一样让人痛心，这其实就承认了这个世道人心本恶。

　　姑且不论有人恶意在自己的站点挂木马钓鱼等。像Google这样的公司将“整个互联网保存到自己的计算机里”，通过对这些数据的分析就能了解一个民族现在关注的事件、我们这一代人的喜好等等敏感信息。兵家的说法是“知己知彼，百战不贻”，我们的信息人家了如指掌，是不是会感觉脊骨发凉呢？

身边的人需不需要警惕

　　上面的技能还都是远程的，还有一些能物理性直接接触。所谓“日防也防，家贼难防”，你是不是了解每个微笑的内涵，是不是清楚电话那头客气的原因，是不是明白偶然邂逅中的必然？黑客们更崇尚用“社会工程学”来获得所需的信息，因为计算机的战争归根到底始终是人与人的战争。以前在瑞中混了三年，远道校网管中心、近到超市保险柜、大到校长办公室、小到心理咨询师，所有密码我都了如指掌，因为他们并不提防我这样一个傻头傻脑的学生。所幸后来是因为XX事情金盆洗手了，不然可能现在也差不多该闯祸了～

这不是结束

　　生活在这开放的时代，到处充满了惶恐，办事都要小心翼翼，网上冲浪举步维艰，你的密码安全吗？