找回密码功能 被曝存在漏洞 如何管理上网密码有学问

　　近日，知乎网上一篇名为《密码找回功能里可能存在的漏洞，很多程序员都没想到》的文章引发网友热议，该文章指出，对于如今各个网站常见的一项功能“找回密码”，其本身可能存在安全漏洞，可能由此产生非常大的危害。这一“找回密码漏洞”事件，将密码安全话题带入大众视野，同时也激起了对设置密码的讨论。

　　超长密码  组合而成

　　“我的密码一共有39位，是由字母+数字组合设置而成。”21岁的刘常剑因长期使用多位数的密码，被朋友戏称为“史上最长密码达人”。

　　在他人看来，这组超长密码或许会给记忆带来困难，但刘常剑表示，位数的长短并不会增加记忆难度，更不会影响输入，“因为它们都是有固定规律可循的”。她解释，自己的密码采用：词语拼音+特殊意义的数字组合而成，中间夹杂大小写字母。比如：JIANQIANG（坚强）+0725（生日）+changjian（姓名）+1017（偶像林志颖纪念日）。

　　刘常剑的大学同学小曾告诉记者，自己曾用圆周率来设置密码，从第一位数开始，取前面30位作为密码，再加上几个英文字母便可。

　　巧用古诗  帮助记忆

　　“我一般借助古代诗词设置和记忆密码。”小苏同样有自己密码设置的另类诀窍。

　　小苏告诉记者，她通常用一句古代诗词的首字母排列，再加上生日或电话号码，构成一组安全密码。比如CQMYG（床前明月光）+0428（生日）+DTSGX（低头思故乡），这样的构成，既安全又好记。

　　记者在采访中发现，使用这种方式设置安全易记密码的人并不鲜见。秦先生同样选择将自己喜爱的诗句加入密码中。不过，他的密码更加简洁，通常只取诗句的第一个字母，“太复杂了记不住，太简单了又不安全，这是最佳选择”。

　　360安全专家安扬也给出了密码设置建议。安扬表示，电商购物网站、可在线支付网站、重要的社交网站等，必须要设置独立密码。因此，他建议用户可以通过在常用密码前面或后面，加上和网站相关联的特殊符号，比如淘宝网站可以使用“常用密码+@taobao”的格式。

　　“密码找回”  或存风险

　　忘记密码之后怎么办？大多数人会依赖网站的“密码找回”功能找回密码。但据乌云网公布的资料显示，密码找回功能或存在漏洞，导致用户账号泄密，甚至出现被盗的威胁。

　　“某些大型支付网站，通过密码找回功能的漏洞，一旦获取方法，只需五分钟就可以侵入客户账号。”来自tools网站的著名“白帽子”（维护网络安全的专业人士）Tang3告诉记者，他曾与团队一同发现并修补过类似的安全漏洞。通过这类漏洞，黑客能够盗取任意账号的密码，引发用户隐私泄露、好友关系诈骗，甚至财产直接受损的严重后果。

　　“主要原因是网站开发人员的安全意识不足，‘密码找回’功能存在设计缺陷。”360安全专家安扬接受记者采访时解释了出现漏洞的主要原因，例如密码找回的凭证太弱，就会容易被黑客暴力破解。又或者，有的网站直接将密保问题的答案写在网页源代码中，黑客只需通过填写他人注册邮箱，进行密码找回的操作，查看网页源代码就能得到密保问题答案，从而达到篡改他人账号密码的目的。 （重庆商报）