谁动了我的密码？

    一场波及各大网站的“密码危机”正在互联网上蔓延……

    12月21日，有媒体报道，国内最大的程序员社区CSDN 遭黑客攻击，包括600多万个明文注册邮箱账号和密码的用户数据被泄露。25日夜间，天涯社区又被曝有4000万用户的密码信息被泄露。

    随后，“密码危机”持续发酵，又有多家网站卷入其中，被网友曝出大批量用户数据资料遭泄露。消息披露后，多家网站启动应急措施，提醒可能被波及的用户及时更改密码，以防个人信息数据丢失。

    数千万用户密码遭泄露

    事件发生当晚，CSDN网站在其官方网站上发出公开道歉信，证实了数据库泄露的消息，表示已报案并配合公安机关追查，并向用户公开致歉，并临时关闭网站用户登录，提醒“2010年9月之前的注册用户和没有修改过密码的用户，立即修改密码”，指出“已对本次泄露出来的所有用户账号进行了登录验证，对所有在2010年9月之后没有修改过密码的账号进行了锁定”。

    其实，这一波用户数据泄露事件并不是个案，接近年末，网络安全事件频频出现。上个月，大批MSN用户遭遇盗号，用户账号无法登录，或收到“MSN好友”突然发来的借钱消息，为其掏钱后才发现上当受骗。此外，众多网友反映自己的微博疑遭盗号，被频繁要求修改密码。

    据奇虎公司发布的《2011年上半年互联网安全报告》指出，黑客窃取网站数据库的危害已远远超过盗号木马，如果一家网站服务器被黑客攻破，成百上千万用户的常用邮箱和密码泄露后，可能导致网上支付等其他重要账号也一并失窃。

    针对愈演愈烈的网络安全事件，奇虎公司于近期发布红色安全警报称：鉴于目前已有超过5000万个用户账号和密码在网上公开扩散，特别是部分网民习惯为邮箱、微博、游戏、网上支付、购物等账号设置相同的密码，中国网民账号安全已经岌岌可危，呼吁广大网民尽快修改重要账号的密码。新浪微博也发布多条预警提醒用户注意账号安全：如果微博使用了和其他网站相同的登录邮箱和密码，建议尽快修改；如果密码过于简单，建议采用数字和字母组合方式以增强安全性。

    尽管接到提醒，部分网民却依然不买账：“一下午换了大部分登陆密码，还是不放心，再也不相信网站上所谓的‘安全’了。” 

    “大规模的数据泄露会造成网民的恐惧，因为他们对数据泄露后带来的后果是不确定的。”北京邮电大学人文学院院长，互联网治理与法律研究中心主任李欲晓表示，“现阶段多种网络应用服务交叉融合，密码使用重复性较高，这在网络发展过程中属正常现象，而我们对安全登陆、安全防护的重视程度还远远不够。伴随着电子商务服务被网民广泛使用，这种安全风险会越来越大。”

    明文密码惹大祸

    一个程序员汇集的大本营直接被撬开大门“拖走”所有家当，根本原因是由于网站的数据库及软件系统存在安全漏洞，但是管理者却忽视漏洞风险，没有进行及时的修复，一旦被黑客探测到并加以利用，采用非常规手段提权，就可以直接窃取用户的核心数据库（安全术语为“拖库”），从而获取大量用户数据，造成严重的危害。

    CSDN网站采用明文密码方式储存用户信息是导致此次密码泄露事件的“罪魁祸首”。所谓明文密码，就是用户在注册账号时填写的个人信息以明文的方式储存下来，用户输入什么信息存下来就是这些信息，没有任何的保密措施。这意味着只要能打开数据库文件的人，即使不是IT技术高手，也能像查看记事本一样获取用户信息。采用明文密码是一种危险低端的储存方式，一旦黑客入侵服务器，数据就会全部泄露。而按照安全惯例，网站应该经常性地修复服务器漏洞并对数据库进行加密处理。但据安全专家介绍，现在很多中小网站仍在使用明文密码。

    除了网站本身安全防护方式的弊端，网民的安全意识也再一次被敲响警钟，很多用户自身没有安全意识，密码简单重复，不重视基本的安全性。有专家统计了这次公布的CSDN密码，结果显示有239万人的密码和别人存在重复，在所有密码中，123456789出镜率高居榜首，有23.5万人使用它作为密码。排名第二位的密码是12345678，使用它的人数也超过了20万。这样的密码相当于“大门”敞开毫无防备，黑客窃取此类信息不费吹灰之力，更为可怕的是很多网民为了方便记忆，所有网站账号的用户名和密码几乎一模一样，一旦某家网站的个人信息遭破解被泄露，其他网站的个人信息也就“不攻自破”，泄密事件的社会危害性不断扩大的原因也正是基于此。

    业内人事指出，此次事件还暴露出行业中存在的一些重要问题：软硬件的问题实际上制约着网络安全的发展，使用户数据处于未知的危险状态。中大型网站不注重硬件防护等级与隔离技术的提升，防火墙设备方面能省则省，导致硬件方面不能有效隔离，保障数据库的安全性。不注重口令技术的更新换代，旧有的加密技术很难对抗使用云计算的黑客，难以保障用户的安全。

    加强网络安全防范意识刻不容缓

    此次泄露事件导致网民人人自危，对于在网络时代个人隐私能否得到有效保护出现很多质疑。网民的账户安全究竟应该如何监管？网民又该作何防范？

    李欲晓表示，有关部门首先要加快完善立法，现有的法律规范层级不够，需要对网络个人信息保护作进一步的界定，明确用户、企业等相关方面的责任义务，有效保障信息安全。其次要加强监管，完善网络安全体系。网络上新业务发展很快，是将其纳入传统电信增值业务监管范畴，还是设立新的业务监管范畴？这些都需要有关部门明确。对于达到一定用户数量和服务开放性的网络服务商，要做到及时监测，其安全防护能力要符合一定的标准规范。此外，要建立充分的信息共享机制和事故通报机制。

    对于网络服务商来说，需要检查和修复网站数据库系统漏洞，完善服务系统，加强安全保护措施，提高安全层级，提供入侵监测，对用户数据加密存储，并考虑为用户提供更高强度的登录、认证方式。

    关于普通网友如何保护密码，奇虎360安全专家石晓虹博士建议，第一要对密码进行分级管理，常用的重要账号，如电子支付、邮箱、聊天工具、微博等，可单独设置密码并加强管理，密码要具备一定的复杂性，可采用数字、大小写字母、符号相互组合；第二要定期修改密码，可有效避免网站数据库泄露影响到自身账号；第三，工作邮箱不用于注册网络账号，以免密码泄露后危及企业信息安全。

    “除了个人作为，还可通过USB Key、安全芯片等工具进行登录时的身份认证，实现动态安全保护，但对普通网民来说，这需要付出一定的使用成本。”李欲晓说，“其实对于广大网民来说，最重要的是要加强防范意识，现在的黑客技术发展很快，破译能力很强，网络空间没有绝对的安全，要尽可能地控制个人信息在网上的保留与储存。”

    光明网记者 张 薇 魏晓虎