CSDN用户密码泄漏事件思考：你的密码安全么

2011年12月22日，国内最大的开发者社区CSDN.NET承认安全系统遭到黑客攻击，CSDN数据库中的超过六百万用户的登录名及密码遭到泄露！且经过验证确认有其他网站用户数据库信息也被泄露。由于用户二次传播带来的安全隐患，也让不少网民坐立不安。

CSDN虽然已经发布了道歉信，但事情并没有结束。人人网、178、多玩、百合网、51CTO、天涯论坛相继被曝数据泄漏……从这一系列泄密事件中，我们能够学到什么？

看看以下CSDN上常见密码的前十位，你是否熟悉且用过？

123456789；

12345678；

11111111；

dearbook；

00000000；

123123123；

1234567890；

88888888；

111111111；

147258369

CSDN泄漏的数据中包含所有用户的邮箱信息，其中超过400,000的帐号用生日做密码，超过150,000的帐号用手机号做密码，超过250,000的帐号用QQ号做密码，有部分账户密码甚至可以直接登录新浪微博、人人网等其他社交网站网站……这些密码几乎是形同虚设！

密码数据

再来分析一下CSDN上触目惊心的密码数据：

纯数字密码超过2890000

纯小写字母密码超过740000

纯大写字母密码超过30000

123456789做密码超过230000

12345678做密码超过210000

弱密码超过5900000

设置安全密码的步骤

那么大家应该如何设置安全的密码，预防数据泄露呢？趋势科技专家建议大家：

1，不要使用任何语言的单词或短句做密码。例如：iloveyou、password。

2，不要使用倒拼单词、常见的错误拼写和缩写。例如：drowssap、p@ssw0rd。

3，不要使用顺序或重复的字符。 例如：12345678、222222、abcdefg或键盘上的相邻字母 (qwerty)。

4，不要使用个人信息。 例如：名字、生日、驾驶证、护照号码或类似信息。

5，不要长期甚至所有网站帐号使用同一个密码。

应该这样做：

1、尽可能使用至少14个字符或更多。

2、密码中的字符变化越多越好。

3、使用整个键盘，而不仅仅是经常使用或看到的字母和字符。

4、定期更换密码。

了解了设置密码时应该避免和应该遵循的原则后，那么该如何生成一个强壮的密码呢？给大家看一个范例。

第一步：找一句熟悉的句子（中文/英文）

· 我需要一个安全的密码

第二步：取出每个单词的首字母/拼音首字母

· wxyygaqdmm （10位）

第三步：使用大小写混输

· WXYYGaqdmm（10位）

第四步：在特定位置添加一些只有你自己知道含义的数字

· WXYYG17084aqdmm（15位）

第五步：添加一些符号

· #WXYYG17084aqdmm~（17位）

第六步：添加相应的应用缩写

· #WXYYG17084aqdmm~gml（20位）Gmail密码

· #WXYYG17084aqdmm~qq（19位）QQ密码

· #WXYYG17084aqdmm~msn（20位）MSN密码

大家还可以在以下这些网站上测试一下自己的密码强度，看自己的密码是否需要修改加强

https://www.microsoft.com/security/pc-security/password-checker.aspx

http://howsecureismypassword.net/

http://am22tech.com/s/22/Tools/PasswordStrengthChecker.aspx

网络服务商如何保护用户数据安全

趋势科技和其他服务提供商，有责任和义务保护用户的数据安全，为用户提供和维护更加安全的网络环境，我们也应该做到：

1.妥善保护用户的用户名和口令

–限制用户输入一些非常容易被破解的口令

–不要明文保存用户的口令

–根据情况决定是否让浏览器保存口令

–使用安全的方式在网上的传输口令

2.妥善管理用户登录状态

–不要在cookie中存放用户的密码

–正确设计“记住密码”功能

–不要让cookie有权限访问所有的操作

–权衡cookie的过期时间

3.口令探测防护

–使用验证码

–设置用户口令失败次数

–系统全局防护

4.增强员工安全意识

5.部署完整的信息安全系统

6.完善信息安全管理流程

网络世界中，密码安全尤为重要，经历数据泄露事件的网络服务提供商和各位网友们，一定要意识到个人密码安全的重要性，养成定期更换密码的习惯。

资料来源：趋势科技云安全博客。