誰偷了你的秘密?

“娉娉裊裊十三余，豆蔻梢頭二月初；春風十里揚州路，卷上珠簾總不如。”這是唐代大詩人杜牧（公元803～約852年）寫的一首詩，名為《贈別》。寫這首《贈別》時，詩人杜牧在失意之中，正要離開揚州，此詩是送給一位相好的歌伎的。以這么文藝的腔調開頭，不是要探討一個文學話題，而是一個看上去非常枯燥古板的網絡安全問題。

閉門家中坐，禍從天上來

2011年年末，“聘聘裊裊十三余，豆蔻梢頭二月初”兩句詩開始在網絡上流行。盡管這是唐詩中的名句，但直到2011年末之前，恐怕一般也很少有人知道。這兩句詩很美，但流行的原因卻讓人感到不安，不是詩歌演唱會，也不是文學大賽，而是關于一個非常科技、聽上去非常古板的一個原因：CSDN（一個大型的技術社區網站）600萬用戶的密碼泄露。引出這兩句詩的是其中的一個密碼：“ppnn13%dkstfeb.1st”，密碼與詩的具體關聯，大家試著按照詩句的開頭字母去比對一下。

這讓人想起了一幅骷髏與美女的畫面，網絡安全的憂患隱藏在美麗的畫皮之下。

以前，我們經常聽到QQ密碼、郵箱密碼甚至銀行密碼失竊的事件，原因大多是因為上網的人不小心，在一些小網站下載并運行了帶病毒的程序。許多網站和軟件都會有類似的提示：“請不要安裝使用來歷不明的軟件”，也就是說，密碼泄露等問題通常是因為個人操作不當引起的。

這一次跟通常的情況不同，許多幾個月甚至幾年沒有登錄CSDN網站的人，當他從新聞得知CSDN密碼泄露消息之后，順著信息一查，發現自己的用戶名、密碼也在長長的列表之中，真是“閉門不出屋，禍從天上來”。打個比方，如果把以前密碼遺失比作自己不小心把家門鑰匙弄丟了讓小偷進到了屋里，這次，是物業公司將整棟樓的鑰匙弄丟了。而且，這還是一家有一定知名度的“物業公司”，是一家技術社區網站。

對于用戶來說，以前擔心錢放在家里不安全便放到銀行里去保存，因為銀行有專門的手段來保障安全。而現在真實的情況是：銀行的保險柜變得比自己家里還不安全。互聯網用戶正面臨一個可怕的局面：即便沒有任何過錯，你也可能隨時成為網絡安全的受害者。

安全危機的多米諾骨牌

如果只有CSDN爆出密碼泄露，大家討伐的對象將會是一家聚集了中國最多IT技術人員而出了技術問題的互聯網公司，顯然，在那個傳說中末日之年來臨之前，后續的故事完全超出了人們的預料。

2011年12月21日CSDN事件爆發之后不到10天時間，密碼泄露事故像瘟疫一樣迅速擴散，傳說中泄密的網站排成一張長長的表單：12月22日游戲網站多玩網，800萬用戶數據；25日號稱“最有影響力華人論壇”的天涯社區，4000萬用戶數據，接著51CTO、CNZZ、eNet、UUU9、YY語音、百合網、開心網、人人網、美空網、珍愛網…一個個相繼出現在表單中，甚至支付寶、當當網以及京東商城類的電商網站也悉數加入其中，到29日，交通銀行、民生銀行，也爆出密碼泄露傳聞，在銀行也卷入涉嫌泄密名單之后，泄密事件進入高潮。

相比于追究一家公司的網絡安全措施失當，搞清楚安全事故為什么會集中爆發顯得更加迫切，從各種渠道流出的信息來看，此次密碼泄露事故有一個共同的特點：網站對用戶名與密碼采用的是明碼存儲。也就是說，你的密碼如果是“12345”，那么網站存儲的也是“12345”，對技術不太了解的人可能覺得沒有問題。事實上，一個安全的網站，不僅僅不讓第三者看到用戶的密碼數據，就是看到了存在網站服務器上的密碼數據，也同樣無法知道用戶的密碼，也就是說，保存在服務器上的與真實的密碼不一樣，這就是所謂的密碼加密技術。

眾多網站都采取明碼而不是加密方式保存密碼，凸現了互聯網行業的整體安全意識淡薄。一旦缺口被打破，相應的風險就會接踵而來。也就是說，我們許多人并沒有意識到，自己處在一個安全度并不高的互聯網環境下。

如果在十年前，密碼泄露帶來的危害要小得多，那時候，互聯網服務還只停留在信息服務的初級階段，人們使用互聯網的程度并不深，而現在，不僅僅各種個人隱私信息都在互聯網上，甚至直接的銀行存取款都在互聯網上操作，密碼泄露甚至比居家的鑰匙丟失都會帶來更大的損失。

也正是因為獲得他人網絡密碼更加有利可圖，竊取網絡密碼的事兒也就越來越多。

CSDN密碼泄露事件像炸彈一樣爆在了2011年末，互聯網安全遭受如此大的風浪，現在，又有誰能夠離得開互聯網呢？誰又能幸免呢？許多人驚呼，2012如果不是人類的末日，那肯定是網絡安全的末日。

比你想象的更危險

即便許多網絡公司相繼在密碼泄露事件中淪陷，對于廣大的互聯網用戶來說，直接的傷害比例還是比較低的，與數千萬泄密數據相比，互聯網賬戶有數十億（單個用戶常常有多個賬號），看上去問題似乎并不大。

但是，進一步的分析表明，問題要比想象的嚴重很多。

一般人設置用戶名和密碼，常常采用生日、紀念日、電話號碼等熟悉的內容，用戶名也相對比較固定，這常常意味著，如果在甲網站上的用戶名和密碼被泄露，盡管乙網站并沒有把用戶名、密碼泄露，但由于用戶的使用習慣，乙網站上用戶注冊的用戶名和密碼在很大程度上可能與甲網站是相同的，也就是說，采用了相同用戶名、密碼的人，只要丟失一個網站的用戶名、密碼，它在其他網站上的數據信息也會失竊。

如果我們再算上雖然在甲、乙網站上設置了不同的用戶名密碼，但是考慮到用戶變更用戶名、密碼非常有規律的情況，用戶數據安全的危險性會進一步放大。比如：一個叫張小山的人，出生于1981年12月30日，他在甲網站上的用戶名是zhangxiaoshan，密碼是：811230，他在乙網站上使用xiaoshanzhang作為用戶名的可能性極高，他采用123081作為密碼的可能性也極高。

不止這些，在一個名為“CSDN杯我最喜愛的CSDN密碼評選”的文章中，作者統計了CSDN中采用常見密碼，發現“123456789”被23.5萬人采用，而“12345678”被21.3萬采用，兩項的數字和，相當于600萬泄密用戶的近十分之一，這就是說，你只要用這些順序的數據去作為密碼，你差不多有十分之一的可能性傾入用戶賬戶。再加上“000000000”、“111111111”、“123123123”等類似的密碼，用戶在互聯網上密碼被泄露的可能性非常之高！

有人可能抱有僥幸心理，雖然自己的密碼可能被別人猜到，但是誰會有那么閑工夫去挨個去試驗呢？那我告訴你，有密碼竊取程序，密碼竊取程序能夠利用常用的密碼挨個試驗去登錄各個網站，破解用戶的登錄信息，如果密碼竊取程序獲得了某個網站的用戶數據，比如這次的CSDN的用戶名、密碼數據，那么程序便能夠輕而易舉地獲得大量其他網站的用戶數據。

看住自己的數字資產

看來網絡安全形勢非常嚴峻，但是，光擔心是沒有用的，從這一刻起，開始學會保護自己的網絡“鑰匙”。

在網站注冊的時候，密碼不要單獨采用字母或者數字的形式，而要采取字母數字混合的形式，甚至加入一些特殊字符，比如：@、$、*等，這樣密碼被猜到的可能性就大幅降低。不同的網站上，不要采取相同的密碼，在銀行（和電子商務）和普通信息類的網站上，最好采用不同的用戶名，這樣，在信息類網站用戶信息失竊的情況下，能夠保證有財務信息的網站數據安全。

當然，還有更加安全的方式來保護密碼安全，比如：采用網站域名與自己固定數字（比如生日）交叉計算的方式獲得一個新的密碼，這樣就能在不同網站得到不同的密碼，而且只需要記住一串數字即可。除了自己采取一些辦法，也可以借助一些專業安全公司的產品，比如：口令紙、電子密碼生成器之類的產品。

除了上面提到的技術性手段，更重要的是要養成更好的網絡使用習慣。對網絡不熟悉的網民，不要輕易在不了解的網站上去下載、安裝程序，不要在一個網站上使用另一個網站的用戶名、密碼登錄，不要在網絡微博、留言、評論、電子郵件甚至發布的文章中吐露自己的個人敏感信息，包括用戶名、密碼、電話號碼、銀行賬號、生日等信息。

還有一點能夠提高安全性，記得周期性更改自己的網絡密碼，當然，這一點比較難。

“娉娉裊裊十三余，豆蔻梢頭二月初；春風十里揚州路，卷上珠簾總不如”，當互聯網讓生活變得越來越文藝之時，我們要知道，風險其實一直在身邊，當財富日益數字化時，請看護住自己的數字資產。

編輯/馮 嵐 icarusfeng@126.com