http://www.stdaily.com 2012年12月17日 来源： IT时报 作者：密码、密码、还是密码……今天的现代人，离得开密码吗？信用卡要密码、上网购物要密码、刷微博要密码、登录OA系统要密码、打开邮箱还要密码……当你的人生由一串串的账号和密码组成时，烦恼和风险也随之而来。该怎样保护你们呢？我的密码。No.1 现代人的密码烦恼因为总担心自己记不住，家庭主妇牟女士将生活中的所有密码都记录在一个小本子上，然而一天她外出购物回来后发现密码本丢了，当街便晕厥了过去。类似的密码烦恼还有很多。长江、黄河、苏州河轮番上高女士是一家大型国营企业的员工，登录企业内部的OA系统，查看公司重要新闻、工作流程进度是她每天都必须做的事情。出于安全考虑，这家企业的OA系统要求员工每3个月必须更换一次密码，密码不仅需要有一定的复杂程度，而且不能与前三次的密码相同。高女士对此颇为烦恼，每隔三个月，系统提示修改密码时，她就要苦思冥想，找一个和之前不同的密码，可设置密码不就是那几个数字吗？自己生日、儿子生日、老公生日、门牌号码……换的次数多了，还真凌乱了。有几次，她都因为输错密码导致账户被锁，不得不拜托IT部的同事解决。后来，同事教了她一个窍门，密码的数字设置为固定常用的几位，后面则把“长江、黄河、黑龙江、苏州河”轮番跟上，每三个月换一条“河”，就算记不清，最多试错三次，就搞定了。丢一个密码 丢一串网站“7月末的时候我在某家电子商务网站的账户密码就泄露了，直到现在才发现，期间没有任何提示。而且手机和邮箱还被别人绑定了密保。”网友“心岸”最近比较郁闷，他在某个电商平台里预存的350元被盗号人花得精光，网站里的信息显示，当时买了一双李宁鞋、一个移动电源和一张4G的存储卡，上面的收货地址填的是广东北部某农场，连门牌号都没有。至今“心岸”仍然不知道，自己的密码到底是被这家电商泄露了呢，还是因为自己在其他网站的密码账号被盗导致的连锁反应。因为在不少网站上，他都用同一个邮箱和密码登录。一旦其中某一个账号密码被盗，相当于这些网站的个人信息全部泄露。No.2 密码中暗藏的风险不久前，一家名为“365社工库”的网站公开贩卖用户隐私信息，500元可以买到100万条个人信息。为了体现网站的“能力”，“365社工库”甚至提供反向验证服务，让购买者验证自己的邮箱密码到底有没有被泄露。这种肆无忌惮的“黑客”行为，引发人们对网站账号密码保护的深思。社工库破解技术高超所谓社工库，是指社会工程学库，它利用已经获取的用户信息，对账户进行针对性破解。一旦黑客知道一个账户后，就可以得到其他更有价值的账号。即使密码不尽相同，黑客利用该密码作为关键字进行暴力破解，也会大大提高破解率。“社工库扫描与常规破解不同的是，它会刻意收集某个用户的所有个人信息，譬如手机号码、生日、买车、公司注册等，将这些信息汇总到一起后，黑客会利用工具进行综合处理，通过排列组合各种信息的形式来破解账户密码。”为网站提供密码安全服务的北京明朝万达科技有限公司董事长王志海告诉《IT时报》记者，这种社工库扫描破解的形式，成功率高的惊人，“破解率往往在20%以上，曾经有个案例，在每五张信用卡中，就有一张能被破解。”网站口令保护处于初级水平事实上，国内各类网站在保护用户账户密码安全性方面都存在着各种问题。今年5月，中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布了《网站用户口令处理安全性外部测评报告》，在抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站，对其用户口令处理进行了安全性测评后发现，仅有8个网站采取了充分的安全措施对用户口令做处理，更有85个网站直接拿到用户的口令原文。测评负责人之一，北京大学互联网安全技术北京市重点实验室高级工程师龚晓跃表示，“整体上看，我国网站在用户口令保护方面还处于一个很初级的水平，亟待提升。”(中国科技网)