说说密码的那点事

首先这篇文章的写出来源网络上的一篇《密码为什么明文存放?》的文章,那篇文章很早了,早到那个时候我还根本没开始接触博客圈or程序,瞎逛的时候被我挖坟出来。奈何文笔不好,所以写出来也就勉勉强强读的通顺一点。

就我个人来说我是一个比较懒得人,基本上我注册过的网站:视频类、购物类、娱乐类密码都是单一密码,后来出了快捷登陆就更懒了,能用QQ、微博授权登陆的,绝不会跑去注册,所以可见我对密码这一块是有多么的不重视,一直也没出什么问题,所以也就大着个心,像什么前两年的开房门啊,CSDN用户数据泄露啊,某游戏网几百万用户数据泄露啊,好像跟我都没啥关系,连注册都没去过,哈哈,抱着侥幸的心里!

上面说的那些用户数据泄露的事件,探其根源发现他们的密码都是以明文来保存,最初我也是不能理解,那么大个网站,那么多的用户数据,怎么能以明文来保存用户的密码?不过看完文章,顿悟了,“活在一个制度里,就要受着这个制度”。

引用原文的几段话:
1.不用明文密码没法应付检查。大家知道互联网审查,有时往往会一个电话过来,要XX用户的密码。如果你没法给出,上头就认为你不配合,事情各种难搞。作为审查机构的老板,当然没必要知道明文密码的危害。他们只知道,我要密码,为什么不行。所以,悲崔的程序员们就往往会得到一条死命令,保存明文密码。

2.压根不知道明文密码有什么问题。中国的互联网有太多的没基础的新人,从石头的缝隙中顽强的生长出来。这不是坏事,坏事的是这些人往往会在一些基础问题上出现奇怪的毛病。例如有些程序员,写程序很快,但是居然从来不知道密码明文存放会导致什么问题。更神奇的是,这些人中,有一家银行…

3.自信暴棚的混帐。有些人的自信总比别人强,而且强在莫名其妙的地方。例如:我的服务器肯定是没问题的,所以我的密码一定要明文存放。如果不,就是质疑我的技术。
实话说,这种人真是少数中的少数。

4.遗留系统。很多系统设计的时候因为某个其他理由,使用了明文密码。等后来这个理由不存在了,密码系统升级成了一个困难。因为密码系统太重要了,所以在没有太大利益的情况下,总是倾向于不修改系统。但是有什么足够利益来推动系统修改呢?用户安全问题在发现前不是一个问题——好比这次的CSDN,不是被暴出来的话就根本不会被当作一个问题。系统的管理者,每个人都没有足够的动力去修改系统。

5.世界的阴暗角落。有的时候,程序员/老板明文存放的理由,是为了方便盗窃用户其他网站资料。例如我所知的某钓鱼案例,你注册网站,就提供很多免费服务,网站看起来也很靠谱——除了后来突然爆出这家网站其实暗地中用你的生日/密码猜解信用卡/银行卡密码,大家才突然发现,这家网站其实根本没有在美国注册,而是一个听都没听说过的国家。

而且很多网站提供从其他网站导入之类的功能,更加的危险。以前经常爆出twitter密码被窃取,主要就是因为OAuth开放以前,twitter上的第三方应用需要提供原生密码,导致很多小应用的目的其实就是收集密码…

6.为了给用户提供方便。这个理由和上一个很类似,不过不是为了某些险恶的目的。而是客户经常要求——为什么我不能做XX事,为什么我不能blahblah。好吧,为了让你能,我们就必须保存明文密码。

扯开这个明文保存密码的话题,话说前两天看到煎蛋网上说“英国在线银行服务供应商Intelligent Environments宣布将推出世界首个只含表情符号的密码系统”,不过这样有用吗?只是好玩而已吧?只有44个表情字符,还不如原始乱码密码好!也听说要引入中文字来做密码,不过这样真的好吗?所谓魔高一尺道高一丈,谁魔谁道的位置可是时时在变化着的!

要我说,最安全的密码措施莫过于“断电、断网、物理隔绝”,哈哈哈!友情提示大家,定期维护自己的密码,免收不必要的困扰。

参考文章:《CSDN爆库内幕:密码为什么明文存放?》、《密码那点事儿》。

附上一个网站,可以检测你注册过哪些网站(PS:貌似以前也发过一次)你注册过哪些网站?
另推荐 土豆上“砖家来了”的《你不知道的西游记》!

41 条评论

  1. Betty

    我也到东到西都一个密码……密码多了就真记不住,到时候如何找回来也还是个坑……

    • Recordmind

      @Betty 胆大心宽啊你

      • Betty

        @Recordmind 我只是想说……很多方法,只是防君子不防小人。
        所以……也就这样吧。除了银行卡之类的,网上的那些也无所谓吧?都是虚无的。
        只要跟钱相关的不是也那些密码就好。

        • Recordmind

          @Betty 网上都无所谓了,没啥敏感信息!文章里面说的是很少会出现的,也没那么夸张了 ♪(´ε` )

  2. 窃窃私语

    搞一套算法。。。。。。

  3. Hi记忆

    密码,加密软件啥的搞得太长、太复杂自己也烦,我现在只是尽量把每个账号的密码都设置地不一样,当然,这得excel记…

  4. 笑笑笑

    密码分级不久行了,来查用管理员mm

  5. 珞凡

    直接弄個像淘寶那樣的,支付的時候需要短信驗證,衕理,登陸的時候也需要短信驗證就行了,沒有手機在身機,連你本人都不讓登,應該會安全點。

  6. 秦大少

    我比较喜欢某些论坛密码+安全提问的方式,毕竟问题答案比密码难猜。
    但是答案在后台是不是明文保存我就不知道了

    • Recordmind

      @秦大少 文章中说的 明文保存 只是极个别的个例了,别被误导哈,整体来说还是很安全的

  7. 美女图片站

    周末了,过来看看,问个好。(。・`ω´・) 欢迎回访:光临海量高清无水印の美女图片站“MNTPZ.com”。

  8. 云南德信行

    密码我都有几个固定的,银行一个密码,网络2-3个密码

  9. Xider

    ㄟ( ▔, ▔ )ㄏ 我的密码还没泄露过

    • Recordmind

      @Xider 真好!哈哈

      • Xider

        @Recordmind 我觉得平常不在一些小网站注册就不容易泄露密码,当然有的时候大网站也会有泄露密码的时候,但是我比较幸运没被波及 ᕕ( ՞ ᗜ ՞ )ᕗ

  10. Bary

    所有网站密码都不一样,现在有了一个能翻好几页的 excel……

  11. kn007

    我被泄漏了2次密码。。。

    • Recordmind

      @kn007 我的就不清楚有没有过 不过最近密码都被改了,就像上次发给你的那样,都是16-32位不等的加密后的

    • 云南德信行

      @kn007 我的也是

  12. 老何

    难怪上次用老密码登录某网站时错误,感情是被管理员重置了…

  13. wu先生

    关于密码,这是个无解的问题。

  14. Louis Han

    上个网真是危机四伏啊 万恶的制度

    • Recordmind

      @Louis Han 其实没啥大的害处,任何事情都有两面性,制度也有制度的好处

  15. 锋子

    我手上的工作用密码都是同一个,而私人密码则是固定的字体以我个人发明的规律组合而成,嗯,基本上没有一个是相同的!如果是熟悉我的人,基本一猜就一个准!

  16. 花千树

    看到了第一条,就让我深深的感觉出了生活在墙内的幸福感和安全感,哈哈哈

  17. 夏日博客

    密码还是要进行MD5加密的。

  18. whisperer

    现在应该没有网站还会明文保存密码了吧
    我一直用 KeePass 管理密码,大部分密码都是自动生成,记住几个常用密码就好了

    • Recordmind

      @whisperer 现在仍依然如此你信不? 体制内,只可意会。

    • 老杨

      @whisperer 握爪,自从 CSDN 开始我就用 KeePass 管理密码了,密码基本上是不一样的。

评论已关闭