中国互联网的十二月大灾变

     <div id="OSChina_News_24269" class="NewsContent TextContent NewsType2">     <p><img alt="中国互联网的十二月大灾变" src="https://simg.open-open.com/show/beec93c9870bce51690d9a07fc53a905.jpg" width="550" height="356" /></p>     <p>开发者门户CSDN泄漏600万用户数据，其中包含极为敏感的用户名、密码。垂直游戏网站多玩网泄漏800万用户数据，大部分加密也有小部分明文保存，措手不及的用户们瑟瑟颤抖。</p>     <p>紧接着51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等众多网站也都陷入用户数据泄漏丑闻，包括CSDN、人人网、新浪微博、QQ邮箱、知乎多个网站已经在消息披露后提升了安全等级，提醒可能被波及的用户更改密码。</p>     <p>仅现在已经确认被波及的用户规模已经超过千万，本来大家都在在暖气房为年终报表、业绩数据里奔忙，现在不得不面对可能存在的未知威胁，并且你对威胁什么时候到来完全一无所知。</p>     <p><strong>连环泄漏像是有心人刻意为之</strong></p>     <p>在两天内，先是CSDN紧接着是多玩网，超过十家网站纷纷爆出用户资料泄漏丑闻，这显然是一起经过严密策划的事件。</p>     <p>策划者很好把握住了用户的心理，没有选择一次性全部放出而是分批放出，显然是想要拉长系列事件的关注度。暂且不论那些未被证实的泄密网站有多少属实，仅就现在披露的数据已经引起了非常大规模的影响。</p>     <p>这些大型网站通常已经有三年以上的历史，期间有机会接触用户信息的程序员不计其数，是否有泄密可能根本无据可查，更谈不上什么责任认定跟追究了。即便是报警也只能算是策略性行为，起不到太实质性的作用，在事件策划者自揭谜底之前，没有任何一个网站敢说自己是清白的。</p>     <p>事件策划者既然敢曝露如此多的用户数据，必然做了足够多的自我保护措施，确保没有人能够找到他们的真实身份。至于策划这一事件究竟是为了什么，显然目前还没有清晰的答案，也许是为了攻击竞争对手，也许是为了转移大家的注意力，也许只是恶意黑客的玩笑而已。</p>     <p><strong>对互联网的影响远比想象中更深刻</strong></p>     <p>“我无法想象这些大网站无法保障我的信息安全，我的邮箱、支付宝、QQ都使用了相同的密码，这意味着黑客可以肆意去攻陷我的在线帐户”，这段话正是大多数普通用户心理的真实写照，在他们看来网站保障用户信息安全是理所当然的义务，普通用户可能会对在线服务失去信心。</p>     <p>问题的核心是没有人知道自己是否受到影响，普通人并不会像程序员建立数据库导入SQL文件然后查询，也不知道自己日常使用的网站资料安全是否完备。通常被曝光的数量往往远大于真实存在的数量，没有人知道自己的帐号、密码、电子邮件、信用卡密码会不会被放在信封。</p>     <p>这些帐号信息可能会对用户的关联帐户产生巨大危害，并且这样的危害基本是无法阻止的，因为大多数人对邮件使用了相同密码，你如果能够通过登陆及邮件更改密码，那么恭喜你，因为那些恶意攻击者也可以。</p>     <p>更大的危害是，泄漏的用户数据可能被有心的黑客用作建设密码破解数据库（彩虹表），帮助恶意黑客们更有效攻陷在线帐户。甚至他们会基于此建立更有效的方式，利用社会工程学来突破传统保护系统的封锁。</p>     <p><strong>怎样的密码才是更安全的?</strong></p>     <p>网友对开发者门户CSDN泄漏的数据进行了分析，发现排名前三的用户密码是 “123456789”、“12345678”、“11111111 ”，这三个弱密码在泄漏密码中的占比高达10%。考虑到用户密码的的巨大差异性，这已经是一个非常高的比例。</p>     <p>弱密码是指简单容易被破解的密码，而且这还是在业内的开发者门户网站，在普通网站使用弱密码的用户比例可能更高。</p>     <p>当然，作为用户有义务设置更高强度的密码，但是这些密码居然成功通过了CSDN网站的验证，大多数网站都具有弱密码检测功能，提示使用弱密码的用户 更换更高强度的密码。这意味着大多数国内网站的弱密码检测功能都是存在尝试缺陷的，甚至仅仅是判断字符数而不包含必备的常规判断。</p>     <p>那什么样的密码更安全?</p>     <p>数字、大小写字母、符号相互组合，字符数越多越安全，但前提是不要给日常使用带来太多障碍。考虑到大多数网站已经配置记忆登陆功能，这并不是一个特别大的障碍。如果可能的话，重要帐户使用单独的密码，尽量定期更改敏感密码</p>     <p><strong>给互联网创业公司的安全警钟</strong></p>     <p>CSDN资料泄漏事件中，受到威胁的主要是早期注册并且没有更改过密码的用户，多玩网方面给出的回复大致相同。</p>     <p>这样的情况在大多数创业公司存在，这次事件波及到的很多网站也是近几年才成长起来的创业公司。在初期由于人手、资源有限，大量的精力都被投入到运营与功能开发中，缺乏对用户资料的有效防护，容易忽略对用户资料安全的重视。</p>     <p>然后他们做大之后会发现存在的安全隐患，然后腾出人手来修复存在的安全问题。但这次资料泄漏事件给创业公司敲响了警钟：用户的资料安全始终应该被放在足够重要的位置，否则可能会成为压倒骆驼的最后一根稻草。</p>     <p>原文：<a href="/misc/goto?guid=4958319963910834210" target="_blank">http://www.rtdot.com/others/95</a></p>    </div>