近日,知乎网上一篇名为《密码找回功能里可能存在的漏洞,很多程序员都没想到》的文章引发网友热议,该文章指出,对于如今各个网站常见的一项功能“找回密码”,其本身可能存在安全漏洞,可能由此产生非常大的危害。这一“找回密码漏洞”事件,将密码安全话题带入大众视野,同时也激起了对设置密码的讨论。
超长密码 组合而成
“我的密码一共有39位,是由字母+数字组合设置而成。”21岁的刘常剑因长期使用多位数的密码,被朋友戏称为“史上最长密码达人”。
在他人看来,这组超长密码或许会给记忆带来困难,但刘常剑表示,位数的长短并不会增加记忆难度,更不会影响输入,“因为它们都是有固定规律可循的”。她解释,自己的密码采用:词语拼音+特殊意义的数字组合而成,中间夹杂大小写字母。比如:JIANQIANG(坚强)+0725(生日)+changjian(姓名)+1017(偶像林志颖纪念日)。
刘常剑的大学同学小曾告诉记者,自己曾用圆周率来设置密码,从第一位数开始,取前面30位作为密码,再加上几个英文字母便可。
巧用古诗 帮助记忆
“我一般借助古代诗词设置和记忆密码。”小苏同样有自己密码设置的另类诀窍。
小苏告诉记者,她通常用一句古代诗词的首字母排列,再加上生日或电话号码,构成一组安全密码。比如CQMYG(床前明月光)+0428(生日)+DTSGX(低头思故乡),这样的构成,既安全又好记。
记者在采访中发现,使用这种方式设置安全易记密码的人并不鲜见。秦先生同样选择将自己喜爱的诗句加入密码中。不过,他的密码更加简洁,通常只取诗句的第一个字母,“太复杂了记不住,太简单了又不安全,这是最佳选择”。
360安全专家安扬也给出了密码设置建议。安扬表示,电商购物网站、可在线支付网站、重要的社交网站等,必须要设置独立密码。因此,他建议用户可以通过在常用密码前面或后面,加上和网站相关联的特殊符号,比如淘宝网站可以使用“常用密码+@taobao”的格式。
“密码找回” 或存风险
忘记密码之后怎么办?大多数人会依赖网站的“密码找回”功能找回密码。但据乌云网公布的资料显示,密码找回功能或存在漏洞,导致用户账号泄密,甚至出现被盗的威胁。
“某些大型支付网站,通过密码找回功能的漏洞,一旦获取方法,只需五分钟就可以侵入客户账号。”来自tools网站的著名“白帽子”(维护网络安全的专业人士)Tang3告诉记者,他曾与团队一同发现并修补过类似的安全漏洞。通过这类漏洞,黑客能够盗取任意账号的密码,引发用户隐私泄露、好友关系诈骗,甚至财产直接受损的严重后果。
“主要原因是网站开发人员的安全意识不足,‘密码找回’功能存在设计缺陷。”360安全专家安扬接受记者采访时解释了出现漏洞的主要原因,例如密码找回的凭证太弱,就会容易被黑客暴力破解。又或者,有的网站直接将密保问题的答案写在网页源代码中,黑客只需通过填写他人注册邮箱,进行密码找回的操作,查看网页源代码就能得到密保问题答案,从而达到篡改他人账号密码的目的。 (重庆商报)