菜鸟贴:撞库

你受邀出席一个名流宴会,发现穿的裤子与吴彦祖的一模一样,这叫“撞裤”。但你并不为此难堪,彦祖才会。

自从你的裤子为你雄起一把后,此后每个场合,你都穿同一条的裤子,门卫也认这裤子就放人。结果,有人偷了你的裤子,他就穿上冒充你,出入各个你曾经战斗过的地方,以你的身份与各名媛谈人生理想,还留下一屁股债。这是互联网安全里说的“撞库”。

因为每个网站和应用,都希望你注册登录,从而建立自己的用户数据库。为了方便,你注册时都用了同样的用户名(ID)和密码。其中有一个网站或者应用的用户数据库被偷,那么也就意味着,你所有用同样用户名和密码的其他网站应用,都已不安全。特别是,如果你注册的用户名是邮箱,而且密码一样,那么所有采用该邮箱注册登录的所有地方,都会被连锅端。

用户数据库为什么会被偷?每个公司的安全措施以及对安全的重视程度、管理规范都不一样,有的可能被黑客拖库(脱裤),有的可能是内部员工盗窃。被偷的数据库里,有的公司直接将你的用户名和密码明文储存,直接被脱得光溜溜;有的可能好些,通过加密算法后,储存的是乱七八糟的字符,盗窃者不一定能解密还原。无论如何,我们都先假定每个网站和应用,都是有被暴库的可能。但是如果每个网站应用都注册不同的用户名和密码,相当于你一天需要出入无数场合,每个场合都换条不重复的裤子,累死。

有不少第三方的密码管理工具,对小白用户还是过于复杂。相对安全的办法是,尽量使用第三方账户登录,比如微信、微博,现在可以用于登录绝大部分网站和应用。此外,更重要的是,对于密码,如果做不到每个地方独立,有个偷懒的办法是分级处理。最高级别是“打死也不说”,这类密码是邮箱、微信、QQ、网银、电商、支付等,必须相互独立,各不相同,并强行记住——再不济,用暗示和提示语的方式,写在纸上来放在一个认为安全的地方。中级是“不打不说”,包括除微信、QQ外的社交应用、社区、资讯网站等,这类密码不能与最高级的一样,但是同级之间的可以重复使用。最低级是“随便说”:因为临时需要使用某网站和应用的服务而注册的帐号,本身既无身份属性,也无留存价值,密码可以随便填写,只要不与前面两个级别的重合即可——比如搜索到一篇文章,在一个平时几乎没用过的网站上,但对方要求注册登录才能阅读全文。

如果上面这些还是过于复杂,最低要求:在各个地方使用的账户,都有取回密码的功能,至少需要保证取回密码的方式本身(如邮箱、手机)不会被盗。

有的朋友苹果的账户(AppleID)被盗,iPhone被人锁定勒索,多半不是苹果本身的系统被人攻破从而获得你的用户名和密码,通常是他们用来注册苹果账户的邮箱被盗了。同样,淘宝、微博、网易、京东等都发生过被撞库事件,而用户数据库被泄露的则包括国内著名开发者社区CSDN,没有看错,是程序员汇聚的社区,而且密码是明文储存的......

所以,靠天靠地不如靠自己。(艾美谷 梁剑)

·  已收录至专栏  ·
梁剑的原创专栏
105篇文章, 89764人关注
进入专栏