修改密码不过是心理安慰

【修改密码能起到的补救作用是有限的，其实不过是心理安慰——对用户的心理安慰，以及网站自身的自我安慰。至于打口水战或者推诿责任，更是不负责任的表现。】

此次事件也折射出不同网站对待用户的态度。

除了少数网站勇于承担，或者说在铁定事实面前不得不承认之外，一般网站的态度就是先否认，尽量脱开干系，实在摆脱不了的话，才扭扭捏捏地承认，并且强调自己是无辜的，是“躺着中枪”，是“被顺手牵羊”。

12月21日晚间，CSDN在其官方网站发布公告《致CSDN会员的公开道歉信》：“我们非常抱歉，近日发生了CSDN用户数据库泄露事件，您的用户密码可能被公开。我们恳切地请您修改CSDN相关密码。如果您在其他网站也使用同一密码，请一定同时修改相关网站的密码。”

CSDN解释：“2009年4月之前是明文密码，2009年4月之后是加密的，但部分明文密码未及时清理;2010年8月底清理掉了所有明文密码。所以，从2010年9月开始注册的账户全部都是安全的，9月之前的则有可能不安全。”

对于数据库泄露原因，CSDN并无确切回应，声称“正在调查中”。

即便如此，网友并不买账。“36氪”社区网友“学徒姚佐”称：“看见2010年注册的也有中招的，明显官方在撒谎。”

如果说CSDN明文存储密码的做法让人大跌眼镜，那么，在没有查清楚数据库泄露原因的情况下，就让用户修改账号密码的做法无异于掩耳盗铃。

修改密码到底能起到什么作用呢?来看看三大顶级黑客是怎么说的。

“毕竟很多公众是用通用密码的，一个沦陷了所有账户都暴露了。”中国红客联盟创始人林勇一语道破修改密码的补救作用。

除此之外，修改密码的真正作用，可能就是心理安慰了——对用户的心理安慰，以及网站自身的自我安慰。

个中原因在于，黑客需要的是这些大型网站的数据库，用户的密码对他们来说并不重要。如果是明文密码，自然捡了个便宜，但就算是所谓的“MD5不可逆算法”，其实对黑客来说，也是轻而易举之事。360安全专家石晓虹对本报记者说：“由于黑客已经收集了大量明文密码，并以此构建了庞大的在线密码字典(彩虹表)，常规的hash值经过密码字典匹配后，93%以上会被破解。”

龚蔚认为：“泄密门事件，目前还没有一个网站给出明确的黑客入侵手法分析，或者泄密事件的安全分析报告。一味的要用户更改密码，可见继续忽悠是他们惯性逻辑，密码换来换去的有屁用，保险箱都被人偷了，还不知道怎么被人偷的，还要我换美金存里面，说这样就会安全。”

甚至，用户修改密码可能还会有负面影响。中国鹰派联盟创始人老鹰(万涛)对本报记者说：“整体的安全环境不改善，修改密码无非是增加更多的用户信息……”

不幸的是，要求用户修改密码几乎成了所有被泄密网站的通用做法。

而且，道歉的网站也不多。比如天涯社区，最开始否认，后来承认并且道歉，“在得知用户隐私遭黑客泄露以后，天涯网已经启动应急预案，通过站内短信、Email等一切有效联系手段通知用户尽快修改个人密码，同时也已经向公安机关进行了报案。”

道歉的还有金山毒霸及其员工：“做错事要承认错误，但网上称我最早在迅雷泄露了用户数据，这不是事实，是污蔑……”

但CSDN策划部总监谭茂马上反唇相讥：“传播泄密资料已经犯法了，提醒用户不要下载这才是安全公司的起码准则，不知道金山公司将此泄密资料放在网上传播是何目的?”

打口水仗的还有CSDN与人人网。蒋涛表示：“关于密码泄密，我们第一时间公开道歉并通知用户，其他人沉默或否认，但都通知用户修改密码。最恶劣的是某上市公司不但否认且赖账CSDN，被暴库的476万用户数据和CSDN的重合度只有0.65%，怎么碰撞?更蹊跷的是，随后新浪微博被曝474万数据，有92%和他的库重复，这家公司真是善于混淆视听。”

对广大网民来说，关心的重点在于账户的安全，至于打口水战或者推诿责任，那不是转移视线，挺没趣的吗?

    网络信息安全应提升到足够高度

(责任编辑：)