探讨密码安全的重要性

近期，CSDN、人人网、多玩、开心网、美空网、世纪佳缘等多家知名网站的数据库相继被泄露，其中CSDN的600万用户账户密码因明文存储而完全暴露。几天前，天涯社区的4000万用户信息也被泄露，同样是以明文形式存储。

本文将首先介绍黑客获取密码的常见手段，然后讨论网站如何安全地存储用户密码，最后提供用户保护自己密码的建议。

黑客获取密码的手段

1. 弱口令扫描：黑客通过穷举或字典文件快速扫描出简单的用户密码，如“123456”。网站可以通过规定密码的最小长度和复杂性来应对这一问题。

2. SQL注入：黑客通过在表单输入恶意SQL语句，利用系统漏洞获取用户信息。当前主要的防范手段包括输入过滤和预编译。

3. 网络监听：数据传输过程中的安全同样重要。高安全性的网站如支付宝会使用自己的控件，一般网站则应使用HTTPS协议或Javascript进行初步加密，以抵御低级攻击。

4. 数据库泄露（爆库）：黑客利用各种手段获取数据库访问权限，常见的方法包括“%5c”大法，即将URL中的“/”替换为“%5c”，从而暴露真实的数据库路径。

5. 社工库扫描：由于数据库泄露的普遍性和社交网络的广泛存在，社工库扫描变得非常流行。黑客通过将一个用户的账户密码与其他网站的数据库进行匹配，如果用户在多个网站使用相同的密码，风险将大大增加。

安全存储用户信息的方法

明文存储和可逆加密都是极不安全的。普通网站通常使用散列加密算法，如MD5和SHA-1，这些算法不可逆且性能较好。然而，黑客手中往往有“碰撞库”，记录了常见密码的哈希值，使得这些算法的破解率高达80%以上。

较为安全的网站会采用加盐（salt）的方式，即先对密码进行一次MD5散列，再将盐值与散列后的密码进行第二次MD5散列。开源软件如Discuz则采用二次随机盐的方式，进一步增强安全性。

用户如何保护自己的密码

1. 不同等级的网站使用不同的密码。

2. 密码分为简单密码（易记）、中等强度密码（包含数字和字母，8位以上）和高强度密码（包含特殊符号和大小写字母）。

3. 对于网银和支付平台，使用高强度密码。

4. 邮箱密码应与网银密码不同，并且应是高强度密码（邮箱是许多系统找回密码的依据）。

5. 对于即时通讯工具和重要网站，使用中等强度以上的密码。

6. 对于普通网站，使用简单及以上强度的密码。即使使用了复杂的密码，如果网站是明文存储的，仍然无效。