“请输入账号密码……”这个我们在众多网站司空见惯的模式，一不小心，就成为出卖我们信息最大的凶手。伴随着互联网诞生第一天就出现的个人密码，在今天依然是普通用户、网站管理员和黑客之间斗争的永恒对象。如何保证密码不被黑客盗取?没有最安全的密码，但我们至少可以让自己的密码变得更安全。

　　泄密探因

　　密码要经过一段旅途

　　为什么会发生如此大规模的密码泄露事件?中国软件评测中心高级工程师朱璇表示，问题出在两个方面，使用者的密码设置过于简单，网站管理出了问题。

　　当我们登录一个普通网站时，密码要经过这样的一段旅途：我们先在键盘上输入密码，网站将其上传到服务器，然后在服务器中保存，当我们丢失密码时，需要通过某种验证才能重新获得密码。

　　这每一个环节，都可能被黑客攻击，获得密码。

　　在输入密码阶段，黑客只需攻击个人计算机终端，当计算机中了木马病毒时，键盘里敲击的密码就可能被黑客截获，病毒也可能搜索计算机文件，获得里面和密码相关的信息。

　　在密码上传阶段，朱璇表示，密码信息上传到服务器，这段旅途虽短，但很多网站，包括一些论坛，都没有把密码明文加密的习惯，成为黑客攻击的薄弱环节。

　　如果上传的密码过于简单，也很容易被黑客用“暴力攻击”的形式获得，最常用的是“词典式攻击”。黑客手中会有一个海量密码的词典，如果用户使用简单的信息，如姓名、生日、电话等，黑客可以设计一个小程序，计算出来。因此，很多网站在登录密码页面会使用验证码，防止电脑的词典式攻击。

　　服务器保存

　　明文保存密码相当危险

　　密码到达终点，即网站服务器，它的保存方式也被黑客盯上。此次密码泄露，就是因为很多网站以明文形式保存用户的密码，而没有任何加密，当黑客攻击进入服务器后，就可以直接看到裸露的密码原文。

　　果壳网“死理性派”主编吴苏介绍，明文保存密码相当危险，黑客只要获得了密码数据库，再复杂的密码，都可以看到。

　　他介绍，现在网站服务器已经有了很普遍的加密方法，叫做哈希函数。比如，英文里“狐狸在冰上跑”和“狐狸在冰上走”两句话，通过哈希函数一转化，很快变成了完全让人摸不着头脑的组合“52ED879E”和“46042841”。

　　但即使用了哈希函数加密，也不代表无懈可击。

　　密码分析学家阮风光说，如果一串被哈希过的密码被盗，只要密码过于简单，黑客同样可以获得。

　　通常，黑客手中，都有一份很长的列表，称为“碰撞库”，里面储存的是很多常用密码对应的哈希值。朱璇介绍，现在网上有专门的网站对哈希值进行破解，根据密码难度进行收费。“比如要破解admin123，属于最常用的前1万个密码，你只要花1毛钱，如果密码是123456，就可以给你免费破。”“万恶之源是密码过于简单。”朱璇说。

　　密码矛盾

　　安全和便利不可兼得

　　“互联网安全问题分成管理层面和技术层面，密码安全横跨两个层面。”朱璇说。

　　对于网站而言需要考虑的安全因素太多了。比如，开发代码中是否存在漏洞，服务器所处的地理位置是否足够安全，服务器是否有密码，操作系统是否打了补丁，等等，任何一个环节出了漏洞，其他环节再安全，也可能被黑客攻进。

　　“一切都是需要花钱的，”阮风光说，“比如你要在服务器中对密码进行加密，就可能需要雇用有安全背景的人来写软件。”

　　目前，科学家和工程师们也在尽量让身份识别变得更为容易，如生物指纹、或视网膜鉴别等等方式，但即使这些额外的保护措施，同样需要花钱。“人们得意识到，更高的安全度，就意味着更多的钱。”阮风光说。

(责任编辑：)