最近各大网站爆出密码泄露的消息。我们往往在注册网站的时候,都会采用同一个密码,什么原因呢,当然是为了方便记忆。成千上百个网站不用同样的,很难记录啊。问题来了,如果我密码泄露了其中任意一个网站,其他网站的密码有非常大的概率被一些用心良苦的人破解。
上一阵发生的大规模密码泄露事件,那些盗取某一个网站密码得人,真正的目的可能不是这些网站。比如他盗取了你CSDN的账户,那么同样道理,你的京东,淘宝的账户密码也可能是这些。好极了,我来拿CSDN的密码去验证这些有利益可图的网站。一旦成功一个,里面可能有银子哦。来个极端的,支付宝密码有没有可能和CSDN的一样。一旦一样。钱丢了。
对于发生如此之多的密码泄露,让各大网友好好害怕的一阵子,包括月小升。不过事件一过,忘记了。照样老调重弹,采用同样的密码和用户名。一个道理,方便啊。实在是太方便了。100个网站,各不同的密码和用户名,让我如何记忆。
对于网站,泄露密码,实在不应该啊。如果你是个做网站的,如何处理呢?
1.密码标准明文传送
这种方法是导致密码泄露的罪魁祸首。尽管网站把我们的密码存入了数据库,密码从我的浏览器发送到网站服务器验证的,密码在传送的过程中会被监听。用过FireFox里FireBug的人估计都知道,所有的浏览器信息,发送的网络传送过程中,都能被监听到。
做网站的朋友把密码加密一下吧。JS在浏览器上直接加密以后再传送就相对安全很多。
2.JS客户端加密,再传送。
加密的数据传送以后,会安全很多。
3.采用https进行传输。
https每次都会进行加密操作,所以非常的安全。缺点就是成本比较高,速度稍微慢了一点,对SERVER的要求比较高。不过你看银行系统的都是HTTPS。
更多程序员防止密码泄露请看月小升的另外一篇密码相关的博客
http://java-er.com/blog/coder-pwd-reveal/
对于用户
1.分级别网站
月小升的办法是重要的网站用一个密码
比如支付宝密码为8位 ayt783^adf
次重要的用另外一个密码,可能是我的生日 19820823
不重要的用一个简单的密码。可能是111112
即使是不重要的网站,也不要采用123456, a123456 ,111111这么傻的密码。你习惯了一个简单的密码,自然就会牢牢记住。比如111112
2.重要网站,定期修改密码
每隔2个月跑去改一次密码。如果你还是觉得烦,那么就设置一个超级复杂的密码。比如15位的。不过你自己要记得住。我有一套密码就非常长,对于防止密码泄露非常有用,比如我爱你塞北的雪 woainisabeidexue.
一句话的拼音。变态啊。变态,但是安全!
3.有钱的网站。
尽量不要充太多钱在里面。比如像京东,淘宝这样的。如果涉及钱币方面,尽量使用网站上的手机密码服务。如果网站提供了这个服务的话。防止密码泄露的最好办法就是没有密码,需要的话,网站给你的手机发一个随机密码