■“现在多数网站的数据库使用的是加密密码,黑客进入也很难破译。但不可思议的是,CSDN的数据库使用的竟然是明文储存密码。”济南市公安局历城分局网警大队中队长李玉森说,此种方式的安全性不言自明。

■银行、邮箱、QQ等核心密码应至少采用16位长度的密码,而且是数字、大小写字母和特殊符号的组合,半年换一次。

640万网民中,23万人密码是“123456789”

上千万网民密码泄露,多个网站出现这些信息的下载链接,信息被肆意下载和转发……　

21日,国内最大的程序员网站CSDN用户数据库被攻击,640余万用户信息泄露,随后,多玩游戏、人人网、178、嘟嘟牛、开心网、天涯社区、世纪佳缘、百合网等网站的“密码集”也先后出现在网络上。遭泄密网民总数多达上千万。

多个网友在微博中验证,下载这些信息后,部分用户名、密码确实可以登录上述部分网站。

众多网友从360安全卫士弹出的窗口、邮件以及微博中获知该信息。“我的邮箱里涌进很多邮件,包括豆瓣网、丁香园等,手机上也收到了建议修改密码的信息。”济南市民高先生意识到,极隐秘的个人信息竟然被如此轻易地窃走。　

虽然个别网站称自身信息并未泄露,但恐慌已在网友间蔓延。22日是冬至,却被网友戏称为“密码修改日”。“大家赶紧改密码,微博账号被盗,发了一堆乱七八糟的微博,头像还被改了,关注了几十个人,删都删不掉。”网友“丸子u”在微博中写道。

而令人深思的是,网络专家分析此次CSDN泄露的640余万个数据后得知,“123456789”竟然成为了用户最常用的密码,用户数达到了235024位,占所有用户的3.66%；“12345678”是第二常用密码,用户数达212751位,占3.31%；“11111111”排名第三,用户数达76346位,占1.19%。

45%的用户选择了纯数字密码,12%选择纯字母密码,只有39%的用户选择数字+字母的组合密码。这样的密码设置,是否靠谱不言而喻。

出事网站储存密码方式很原始

“我的信息谁做主?”众网友在质疑的同时也心存疑问,作为国内知名的网站,其数据库怎会如此脆弱。

济南市公安局历城分局网警大队中队长李玉森与电脑打交道30余年,拥有丰富的网络安全知识。他介绍,密码的存储和验证过程简单来说就是:用户输入密码,密码被传输到服务器,服务器将密码存储起来(注册)或和已经存储的密码比对(登录)。

“三个步骤都有可能遭到黑客的攻击。此次事件则是在第三个步骤中数据库被攻击。”李玉森说,网站数据库泄露多是因网站程序或服务器系统存在漏洞,被黑客入侵造成,安全术语为“拖库”。

“现在多数网站的数据库使用的是加密密码,黑客进入也很难破译。但不可思议的是,CSDN的数据库使用的竟然是明文储存密码。”李玉森说,明文密码就是直接将用户的密码存到数据库中,此种方式的安全性不言自明。

国内一家网站技术总监蓝葛亮说,国内知名网站的防火墙等技术都比较先进,可数据库采用明文密码,只要接触数据库的人就能够轻易获知,管理上的漏洞可见一斑。

虽然CSDN称,此次泄露的数据库是2009年前使用的,2009年后网站已改用加密密码,“但这更说明网站管理上可能存在漏洞。”网络安全专家说。

密码应分类设置,半年换一次

中国互联网络信息中心此前发布报告显示,今年上半年,遭遇病毒或木马攻击的网民有2.17亿,占网民总数的44.7%；有账号或密码被盗经历的网民达1.21亿；另有8%的网民曾遇到过消费欺诈。

很多网友都用一个用户名和密码通行各网站,一旦一个账号密码泄露,就可能波及到所有重要账号的安全。“网友所遭受的损失也可能被几倍的放大。”曾经查办多起网络案件的李玉森对此非常担忧。 “比如不法分子在网络游戏中处理用户的虚拟财产、盗窃Q币等。”李玉森更担心的是,不法分子窃取用户的聊天账号进行网络诈骗。他们近期已接到多起类似的案件。

前些天,济南的王女士与远在贵州上学的儿子QQ聊天。儿子提到一个很好的同学突患重病,急需钱进行治疗。王女士没多问,给其汇过去7万元钱。后来她给儿子打电话,却被告知根本没这回事。“原来王女士儿子的QQ号被人盗走了。”李玉森说,此类网络诈骗案件侦破难度非常大。

“网站自身需要设置能有效防黑客攻击的技术架构,完善内部管理,网友则要装杀毒软件和防火墙,设置高强度的密码。”蓝葛亮认为,多层面加强互联网安全迫在眉睫。

蓝葛亮建议网友对密码进行分类设置,分成核心密码、一般密码和不重要密码。“例如银行、邮箱、QQ等核心密码至少采用16位长度的密码,而且必须是数字、大小写字母和特殊符号的组合,并且与自己的任何信息都无关,半年换一次。”

(责任编辑：)