广告位
您的位置 首页 探索

密码这么讨厌的东西,其实我们并不需要

文/陈渊没有人可以保证密码是绝对安全的在网络安全领域流传着一句话:世界上只有两类公司,已经被黑了的,和还不知道自己已经被黑了的。首先,八卦先从海外讲起。前不久,一名黑客宣布挂售3.6亿Myspace用户名和密码,LeackedSource(付费黑客数据搜索引擎)声称这些密码信息来源于2013年一次黑客行动,不过那次行动并没被报道。如果这些信息符实的话,这有可能是

  文/陈渊

  没有人可以保证密码是绝对安全的

  在网络安全领域流传着一句话:世界上只有两类公司,已经被黑了的,和还不知道自己已经被黑了的。

  首先,八卦先从海外讲起。

  前不久,一名黑客宣布挂售3.6亿Myspace用户名和密码,LeackedSource(付费黑客数据搜索引擎)声称这些密码信息来源于2013年一次黑客行动,不过那次行动并没被报道。

  如果这些信息符实的话,这有可能是有史以来最严重的一次数据泄露。尽管很多人已经不再用Myspace了,但他们在其他网站上可能仍然使用相同的用户名和密码。

  就在同一个星期,linkedIn的1.17亿用户密码与Tumblr的650万登录信息也被黑客挂牌销售。

  如果你是linkedIn的用户的话,你可能这就要去改密码了,改完之后可一定记得回来啊。

  上面这些都是国外的网站,跟我们有什么关系呢?反正我们也不用他们的服务。然而,国内的情况也好不到哪去。

  以下是国内发生的用户信息泄露事件,摘自维基百科。

  2011年12月12日,中国最大的开发者社区CSDN被爆遭黑客攻击,600万用户账号以及密码被明文泄露,这些资料在网上到处传播。

  同年12月25日,乌云漏洞平台爆出天涯社区4000万用户资料泄露,资料中包含了用户的账户名和密码明文。

  同年12月28日,有人爆料京东商城存在用户信息泄露漏洞,京东承认有漏洞并报警。但是第二天又辟谣称没有发生此类事件。

  同年12月29日,网上传言当当网1200万完整的用户信息泄露,包含真实用户姓名,邮箱地址,收货地址以及联系方式等等。

  同一天,有消息称支付宝平台用户名、账号泄露,但是并不包含密码。

  2012年1月4日,有白帽黑客警告新浪爱问社区存在漏洞,可让任何人访问爱问社区约7000万用户账号以及明文密码。虽然新浪方面表示只有30万泄露,但是不同于白帽黑客,躲在暗处的人可能早就把你脱库上百次了。

  同年1月10日,国家互联网信息办公布了一些近期泄密情况,包括之前没被爆料的YY语音。YY语音数据泄露是因为内部员工利用职务之便所窃取的。

  上面这些泄密事件密集发生在11年末,是巧合呢?还是只是那会儿才引起人们的重视呢?

  在这个事件之后,大部分公司对安全这一块还是比较警惕的。毕竟用户的数据安全和公司的利益是捆绑在一起的,管理层再不懂技术,也得为公司名声和利益着想啊。

  不过,接下来各大公司泄密(包括小米和网易邮箱)也并没有就此停止。其中不得不提的就是大名鼎鼎的心脏出血漏洞(HeartBleeding)。

  心脏出血漏洞是比较严重的,网站本身可能并没有做错什么,Bug来源于第三方的开源代码OpenSSL,而且来的有点太突然。黑客只需对使用OpenSSL的网络服务器发起恶意请求,就有很大概率可以得到正在访问的用户的密码或者其它相关的机密信息。

  这一次漏洞波及全球大部分网站,算得上是全球性核弹灾难,被评为“互联网商用以来最严重的漏洞”。

  受到影响的网站和App中就包括之前声称自己绝对安全的支付宝。虽然阿里巴巴在第一时间修复了问题,还是有不少用户的密码被黑客恶意获取。

  说了这么多,其实就是为了说清一个观点:保证用户的密码安全是极其困难的。

  而且,就算某个公司的数据100%安全,从来没有泄露过,那也没什么用。因为很多用户并没有安全意识。他们在很多网站的账号密码都是一样的,只要有一个网站出问题,其它所有网站的数据可能都不能幸免。

  那么问题来了。密码这么不安全,我们真的需要密码呢?

  我们并不需要密码

  忘记过密码的人,可能经历过一件事。就是去网站重置密码。这个过程大致就是:

  网站发一封邮件到你的邮箱里。

  点击邮箱里的链接,跳转到刚才的网站,填写新的密码,重置密码成功。

  为什么密码丢了我们还能够找回密码呢?这里面有个比较关键的因素:网站可以通过邮箱来验证你的身份。

  也就是说,只要你证明了你账户信息里留的邮箱地址是你自己的,你就被验明正身了。在这里,邮箱地址替代了你的密码。

  网站还可以给你的手机发短信,验证你是否拥有你的手机,来证明你的身份。这里,手机替代了你的密码。

  上面这些验证身份的手段,是不是和密码所解决的问题一样呢?而邮箱地址和手机号码泄露出去,是不会对安全造成影响的。

  有人可能又问:那邮箱或者手机丢了怎么办?这是另外一个问题了,你可能经常丢密码,但是不太可能经常丢手机。而且,保管好手机以及邮箱的安全,也比同时记住几十个不同的账号密码组合要容易得多。

  如果这样更安全,为什么现在的网站和App还是希望用户通过密码的方式进行身份验证呢?如果我们直接将密码禁用了,就会遇到另外一个问题,用户的登录体验特别差。

  用账号加密码登录可能连10秒钟都不到,通过邮箱或手机登陆的话,可能需要好几分钟,因为服务器发送验证邮箱和短信需要的时间不可预测,你也可能根本收不到。

  有什么办法可以尽可能不用密码,又保证用户体验呢?

  如果没有密码

  你可能已经发现了,现在很多App和网站都可以通过微博,微信,QQ等方式来验证登录。

  这个身份验证的原理其实和邮箱或短信验证是一样的,网站通过一个可信的第三方,去判断你的身份是不是正确的。

  作为网站的开发者,如果你没有很多钱或者不愿意花精力去维护产品的安全性的话,请尽量采用这种方式来设计用户身份验证流程,这样你维护网站的安全成本就会大大降低。只要微信或者QQ保证用户的数据是安全的,用户在你这里,就也是安全的。

  知名的博客平台Medium最早就只让用户通过Twitter来登录,以至于很长一段时间我都误以为Medium这个产品是Twitter公司的。虽说腾讯和微博以及Twitter的安全性并不100%保证,但至少也比小公司或创业团队强。

  如果你同时接入了很多第三方登录工具,请尽量保证用户的身份是统一的。也就是说不要让同一个用户的QQ和微博在你的网站生成两份不同的用户数据。因为很多用户根本不会记得自己之前是通过微博还是QQ登录的,如果他们记错了,很可能误以为自己的数据丢了或者被盗了。

  要是你不得不为自己的产品或服务设计密码登录的话,可以尝试降低密码的重要性。也就是说,用户的密码丢不丢也并不是很重要。

  你可以强制用户设置一个极其复杂的密码,而且要求不要和别的网站一样。这样他们很容易就忘掉密码了,然后改用别的更安全的方式登录。其实很多网站都这么干,虽然导致用户体验差,但是安全性很好。他们也可以重置密码,只是过程比较麻烦。

  你还可以尝试进行多重身份验证。这种方式曾经被微博推广过。它的原理并不复杂,就是要在你的服务器上跑一个算法,用户的手机或者电子设备上跑一个一样的算法,只要你们的时间是一样的,就会得到一个相同的随机数字。用户每次登陆只需要输入这个随机数字就可以了。这其实是一个加强版的密码,但不需要用户记忆,也不怕和别的网站一样,安全性比较高。当然,如果用户是穿越来的,这个可能也不管用。

  总的来说,方法有很多。最节约成本,体验最好的还是通过可靠的第三方网站或服务来进行身份验证。

  作为一个普通用户,注册或登陆的网站恰好有微博登陆或者QQ登陆的话,就尽量不要选择用密码登陆。

  一些网站只提供密码登录,你可以买一个密码管理软件,譬如1Password。它会帮你随机生成密码,这样也不用你去记了。每次需要用,把它打开就可以了。

  要是你不想花钱买软件,或者信不过别人,或者很喜欢和自己较劲呢?我这里还有一个技巧,就是自己生成一个

印度神油密码。方法很简单,找一句古诗词,或者完全和数字不沾边的东西,比如,“两个黄鹂鸣翠柳”,就是个不错的密码引子。然后你转换成数字与拼音首字母的组合,就变成了“2ghlmc6”,你要想再加强一点,可以是“@ghlmc6”。总之,字母符号数字组合种类越多,越长,密码也就越安全。最后再往你的密码上加一个网站的标识,比如新浪微博的密码,就是“@ghlmc6we!b0”。看起来是不是很强大,逼格很高,而且方便记忆。

  最后,总结一下。我们不需要密码,其实是因为密码有很多缺点。简单密码容易被盗,复杂的又容易忘,而且用户在很多网站的密码一样,丢掉一个密码就会产生大范围的影响。

  我在文章里提出了一些方法以及个人的经验,并不是很全面。如果你有更好的方法来解决身份验证这个问题的话,欢迎在文章下面留言哦。

  文章来自微信公众号:技术阅读,站长之家已获授权,转载此文请于文首标明作者姓名,保持文章完整性,并请附上出处及本页链接。

本文来自网络,不代表【超级变态传奇私服网】-ZhaoSf.Com立场,转载请注明出处:https://www.coprosud.com/%e5%af%86%e7%a0%81%e8%bf%99%e4%b9%88%e8%ae%a8%e5%8e%8c%e7%9a%84%e4%b8%9c%e8%a5%bf%ef%bc%8c%e5%85%b6%e5%ae%9e%e6%88%91%e4%bb%ac%e5%b9%b6%e4%b8%8d%e9%9c%80%e8%a6%81/
广告位

作者: sf999

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

联系我们

联系我们

租站QQ:1933332277

在线咨询: QQ交谈

邮箱: [email protected]

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部