近日，著名IT技术论坛CSDN社区数据库泄露，近600万用户的账号密码外泄。随后又爆出“多玩游戏网”800万用户资料被泄露，之后，著名的 “天涯社区”也不幸中招……如果说CSDN的“沦陷”影响的只是专业IT程序员群体，那么像“天涯”如此大众化网站的密码泄露，几乎和每个人休戚相关。网站到底是如何保存用户密码的？怎么会被黑客破解？从技术到法律层面有没有相关措施？

网站VS黑客：道高一尺魔高一丈

对于大部分网站而言，密码的存储和验证过程基本如下：用户输入密码，密码被传输到服务器，服务器将密码存储起来（注册）或和已经存储的密码比对（登录）。不论在哪个步骤，都有可能遭到黑客的攻击和入侵。本次事件的数据库泄露，就和第3个步骤相关，而直接原因，是这些网站的数据库采用明文储存密码。

所谓明文，顾名思义就是直接将用户输入的密码存到数据库中，这种方式的危险性不言自明。为了防止黑客攻击，目前大多数网站都采用加密方式保存用户密码。简单来说，如果用户的密码是“123456”，那么网站会通过特定的密码算法，将其转换为例如“ABCDEF”保存。当然，网站管理员会采用多种特殊的函数算法，更高级的网站会在此基础上加一些只有管理员自己知道的随机串，再多次加密，只为防止黑客入侵数据库，反推出用户密码。

然而，网站和黑客之间，如同矛和盾，也是俗语说的“魔高一尺道高一丈”。无论网站采用多么复杂的加密算法，理论上黑客都有破解的可能，当然这也反过来促使网站不断采用更高级的加密算法。

明文密码缘何使用多年

既然明文密码如此危险，为何包括CSDN和天涯在内的大网站，仍大胆采用明文密码？

业内人士认为，这可能和网站早期的技术架构有关。等到互联网加速发展，网站用户直线上升，黑客的手段越来越高明，想再转换成加密算法，意味着要对海量数据库进行迁移和再操作，许多网站为了节约成本，一路将就，最终导致此次泄露。

也有用户开始质疑网站的“居心不良”。在著名IT资讯网站cnBeta上，有用户质疑“用密文加密密码，这是网站管理员基本的常识，现在连普通的电脑玩家都知道。但是CSDN以及天涯等站点，居然使用明文存储密码，那么他们是想干什么呢？”网友们担心，网站故意使用明文密码，可能背后有一个看不见的利益链条，网站可以随意使用用户账户，将个人信息转卖给商业机构。

网站不应简单“免责”

据称，CSDN网站已就此事向法院提起诉讼，如果查明黑客的真实身份，肇事者将被追究刑事责任。那么网站本身是否也会因“数据保存不妥”承担相关责任？

“在民法领域，我国对于个人数据、个人信息的保护几乎是空白，现在要追究网站的责任恐怕很难。”中国互联网协会法律专家胡钢律师分析，此类事件中，网站应承担两方面责任。一是违约责任，二是侵权责任。遗憾的是，不少网站在用户注册时，都会强迫用户同意一份免责条款，不同意就不让注册。在这份文本中，网站肯定不会把数据泄露这类事件纳入责任范围。如要追究侵权责任，那么用户必须证明网站没有采用业内普遍公认的技术方法保存数据，这样的取证也相当困难。

“试想，如果国外的facebook（脸谱）、twitter（推特）发生此类事件，政府部门和法律团队会在第一时间介入，进而造成公司股价波动，老板甚至可能引咎辞职。但在国内，似乎还没有对网站的约束机制。”胡钢呼吁，应加快个人信息保护的相关立法，同时行业协会也应该出台自律公约，鼓励网站采用更平等的，而非免责性的用户协议。

(责任编辑：)