作者：李铁军    金山软件 ·  北京
　　关于密码学，本人是门外汉，不要和我说加密算法，这不是本文要关注的。关于如何在程序中实现用户密码的保护，这个也不是本文要写的，如何实现，这是程序猿的任务。

　　在各位继续往下看之前，在心里先默一下自己的密码管理习惯，问自己几个问题：
　　你在网上做什么？
　　网上有多少个地方会找你要密码？
　　你有多少个登录密码？
　　你是否特别钟爱一个或几个密码，在很多服务中使用同样的密码。
　　你知道别人有可能知道你的密码吗？

　　有IT人士会说，不用太担心，这些网站会加密存储你的密码，密码算法是可靠的（常说的MD5），密码加密后的字串是不可逆的：即无法直接从MD5字串逆运算，得到你的密码明文。

　　理论上的确如此，但实际并非如此

http://att01.blog.kingsoft.com/upload/attachment/2011/1116/10/4ec3237d8aea1.jpg

　　还可以在新浪微博找到专业人士的分析：

http://att01.blog.kingsoft.com/upload/attachment/2011/1116/10/4ec3238b6008a.jpg

　　先想一下这个问题吧：中国有13亿人口，会有13亿个人名吗？答案肯定是“没有”，如果公安部公开户籍资料的一些统计数据，就能有非常具体的答案。我猜也许13亿中国人中，大概只有1亿个人名。在鄙司，有7个叫张伟的人，在我的座位前后，有两个叫陈浩（皓）的人。

　　回到密码，可以设想：你所使用的密码，可能别人正在用，或者曾经用过。密码和别人重复的概率是多少呢？

　　让我们先去访问一个网站：cmd5.com（特别提醒，请不要在这个网站输入你正在使用的任何密码验证，你并不在意的一个动作，会为这个数据库贡献一条记录）

http://att01.blog.kingsoft.com/upload/attachment/2011/1116/10/4ec323d0534cb.jpg

　　注意这里的文字说明：本站拥有全球最大的数据库，很多复杂密码只有本站才可破解，支持多种算法，实时查询记录超过7.8万亿条，共占用80T硬盘，成功率93%，一般的查询是免费的。对于本站数据库中不存在的记录，则自动进入后台分布式云破解，一屋子电脑协同计算，一天可破解1000万条，成功率98%。
　　这是一个在线的密码字典，可以通过这个网站查询密文所对应的明文字串。该网站的统计数字是93%的成功率，可以大致理解为，你所使用的密码与别人相重复的概率约93%。

　　你知道自己曾经使用过的服务被黑客攻击脱库吗？
　　脱库，这是黑话，意思是某个数据库被入侵，用户资料被黑客下载。
　　曾经有很多企业网站，包括非常著名的企业曾经被黑客脱库：
　　索尼，被入侵后7500万用户资料泄露……
　　韩国最大社交网站被黑 2500万用户资料泄露……
　　陕西某电信运营商，1400万手机用户资料被泄露（这是内鬼利用工作之便盗窃，和外部黑客攻击有区别）……
　　微博传某连锁酒店被脱库，怀疑所有用户消费资料被盗……
　　微博传某团购网站被脱库，用户资料被盗或被转手倒卖……
　　团购网站倒闭，管理用户资料的员工或企业，他会销毁手里的用户资料，还是转卖？我不知道……
　　
　　未公开或不便说的入侵事件更多：
　　众多论坛曾经被脱库，甚至管理员完全不知情……
　　上周在COG2011大会上，有人传说天涯社区被脱库

http://att01.blog.kingsoft.com/upload/attachment/2011/1116/10/4ec323e9adea1.jpg

　　也有人说新浪微博一样被脱了，微博有上亿用户。

http://att01.blog.kingsoft.com/upload/attachment/2011/1116/10/4ec3241ce0435.png

　　你会用一把钥匙开所有的门吗？
　　回忆一下，你正在使用的服务有多少，也许你没有数过，大致列举一下吧：
　　QQ，微博，若干个邮箱，企业OA系统，淘宝、支付宝、当当、京东等在线商店，网银（若干张卡、手机银行），还有其他一些网站，有时很久不去，帐号密码全不记得。
　　太多了……
　　如果，你为了方便记忆，习惯于在这些服务上使用同样的密码。若其中某个服务被黑客入侵脱库，就有事情会发生：
　　1.邮箱被入侵，你的秘密，黑客掌握的清清楚楚；
　　2.有人冒充你的身份在QQ上向朋友借钱；
　　3.你的工作系统，被商业对手入侵，使你在商战中惨败；
　　4.半夜手机响，有人在千里之外用你的信用卡刷卡消费……
　　5.你的支付宝原来锁定的手机号和邮箱已被修改，这个帐号已不属于你，你却毫不知情，仍然让商业伙伴为这个帐户付款……

　　怎么搞定密码安全？
　　疯了，你这个搞安全的人，难道让我去记住这么多帐号密码，你TMD记得住吗？抱歉，我真的不是故意折腾自己并把折腾自己的方法和你分享，我也记不住几十个服务的密码。
　　重复一下我的经验：
　　将自己用的在线服务简单分三类：
　　一类：特别重要，丢了就损失惨重。包括最常使用的邮箱，淘宝支付宝、网银等与钱有关的东西
　　二类：很重要，微博、QQ，电子商务网站的注册。这些东西丢了，会给自己或朋友构成威胁。
　　三类：不太重要，一般的论坛。

　　确保很重要或特别重要的帐号密码安全，其中重中之重是最常用的，与很多服务绑定的邮箱密码安全。因为这个邮箱地址必然是公开的，黑客只需要拿字典中查到的密码去尝试用你的身份登录。
　　密码可以很个性化，自己好记，外人猜不到，比如将自己最喜欢印象最深刻的事情缩写记录为密码（大小写混淆加上特殊字符），每一个很重要的或特别重要的密码都不与其他服务重复。
　　网银只选择有usb key的在线服务，与网银绑定的手机最好不关机。（我不确定手机不关机会浪费多少电，会缩短使用寿命吗？不确定）

　　当你的信用卡被盗刷时，银行会给你发短信，如果你关机了……
　　不太重要的服务，用不常用的邮箱来管理，忘了就忘了吧，用那个邮箱找回或者干脆重新注册。

　　总结一下：
　　不管一家公司有多牛，必须有人看好大门。安全是相对的过程，如果一个服务没有做安全维护，被入侵的事情就必然会发生。如果其中有数据库，资料被窃的概率就会很大。
　　注意到没，中南海的大门永远是敞开的，普通人却永远进不去，没有通行许可。
　　对个人也是如此，密码就是看门人。云存储正在向我们招手，未来，我们的资料也许都存在远程服务器上。
　　
　　黑客时刻准备入侵，你准备好了吗？