痛并快樂著

殺毒軟件繼續(xù)免費，各廠商隔三岔五來一場口水戰(zhàn)……，我原以為咱們互聯(lián)網(wǎng)安全行業(yè)的2011年就這樣安安穩(wěn)穩(wěn)地過去了。可眼看今年就要翻篇兒了，一場轟轟烈烈的改密碼行動又席卷而來，就連我這樣的資深大牛都坐不住了（呃，小編先別拍磚）。先是開發(fā)者社區(qū)CSDN數(shù)據(jù)庫被黑客攻陷，600多萬用戶明文信息泄露。隨后，又有多個網(wǎng)站被“脫褲”?？磥?，咱得找一個保全賬號的好法子。

杯具了，CSDN的密碼是明文

CSDN是國內(nèi)最大的開發(fā)者社區(qū)，很多IT大牛都喜歡在此進行技術交流?？赡岈斶@網(wǎng)站的安全性也做得太差了，居然被“脫褲”，導致用戶信息全部被曝光在網(wǎng)上。更讓人大跌眼鏡的是，這貨的密碼竟然是用明文存儲，三歲小孩兒都能看懂。您忒不專業(yè)啊，老兄（如圖1）！

稍微有點安全常識的人都知道，在數(shù)據(jù)庫中存放密碼都應該進行加密。例如，密碼明文是123456，但是經(jīng)過數(shù)據(jù)庫加密后就可能變成asdfgh這種形式。如此一來，即便是數(shù)據(jù)庫管理員，也不可能一眼看出用戶密碼明文。目前來說，比較常見的是用MD5算法進行加密。

MD5加密就一定靠譜？

MD5算法會將密碼明文通過不可逆的字符串變換，加密成一個唯一的MD5信息摘要。如今，MD5算法主要分成16位和32位兩種。使用兩種方式對同一個密碼進行加密后，16位的字符串顯示的只是32位字符串的一部分，即去除了前八位和后八位剩下的那部分。

那通過MD5算法加密后，就絕對安全了嗎？其實不然，黑客仍可通過“碰撞”方式進行破解。比如，通過MD5算法，我們可將“admin”加密成21232f297a57a5a7 43894a0e4a801fc3，可有人將把這些對應關系收集到了另一個“碰撞”數(shù)據(jù)庫中，即“MD5對比數(shù)據(jù)庫”。

當這個數(shù)據(jù)庫中有幾十億條記錄的時候，有心人士完全可以通過這個數(shù)據(jù)庫進行“碰撞”，破解MD5字符串對應的密碼明文（如圖2）。通常，簡單的密碼明文都能被破解出來。雖然經(jīng)過MD5算法加密的信息，同樣也存在被破解的可能，但我認為密碼不加密，這就是網(wǎng)站的態(tài)度問題了。

查一查，你的密碼被泄了嗎？

說到這，可能很多讀者朋友便要開始罵娘了，不過筆者還是建議大家要淡定。當務之急，應該是先去看看自己的賬號是否也已經(jīng)中槍了。

我們進入到金山提供的“密碼泄露快速查詢”網(wǎng)頁（地址：http://cs-test.ijinshan. com/security），在“用戶名”輸入框中輸入自己常用的賬號或者郵件地址。輸入驗證碼后，再點擊“查詢”就可以對自己的賬號進行檢測。

倘若不幸，檢測結(jié)果顯示“您的密碼可能被泄漏，請盡快修改密碼確保安全”（如圖3），那說明你的賬號躺著也中槍了，趕緊加入改密碼大軍吧！

強壯的密碼是怎樣煉成的？

既然要修改密碼，就要選擇一個強度大的密碼，可能新手們就要問了，怎樣的密碼才是強度大的密碼呢？其實，有個小工具可以幫忙。

首先打開最新版的《360安全衛(wèi)士》，依次點擊“功能大全”→“新功能推薦”→“密碼安全鑒定器”。在彈出的窗口輸入待檢測的密碼，點擊“檢測”即可查看密碼強度（如圖4）。在此，筆者推薦大家使用80分以上的高強度密碼。

如果實在是想不出高強度的密碼（人工設置的密碼，黑客往往可借助社會工程學原理破解），我們還可以使用SingK Password Producer（下載地址：http://www.skycn.com/ soft/8592.html）這樣的專業(yè)軟件進行生成。這貨最擅長隨機生成一些安全的密碼。

啟動程序后，我們選擇“常規(guī)”。接著，勾選“批量輸出輸入KEY到文件”和“濾掉重復的密碼（速度慢）”，再點擊“輸出文件”選項后的按鈕，設置保存密碼口令的TXT文件名。

隨后，我們需要在“密碼組成/復雜程度”選項中設置口令密碼組成的內(nèi)容信息。還可以在“自選字符”輸入框中，添加一些其他特殊字符，并設置好“密碼長度”和“生成數(shù)量”的數(shù)值（如圖5）。

設置完成后，點擊“開始”就能生成密碼了。密碼明文會保存在之前設定的TXT文件中（如圖6），也會出現(xiàn)在“您可以從下面已生成的密碼中選擇”列表中。從列表中選擇了某個密碼后，程序會自動將其復制到剪貼板。

記密碼，這樣也行！

有了強壯的密碼后，如何存放又成了問題，畢竟這些密碼非常難記。堅決不做CSDN第二的我決定使用KeePass來管理密碼。

從官網(wǎng)（地址：http://keepass.info）下載到軟件安裝包和簡體中文語言包后，先安裝KeePass主程序，然后將簡體中文語言包解壓到安裝目錄中。啟動KeePass后，我們先依次單擊“View”→“change language”→“simplified Chinese”，將軟件界面搗鼓成簡體中文。

點擊“新建”創(chuàng)建一個存放賬戶的數(shù)據(jù)庫，進入數(shù)據(jù)庫配置窗口后，可以進行詳細設置，普通用戶使用默認設置就OK啦！KeePass窗口左側(cè)是密碼分類，右側(cè)為對應分類的賬戶列表（如圖7）。在左側(cè)選擇好分類后，我們再在窗口右側(cè)點擊鼠標右鍵，選擇“添加記錄”即可添加賬戶信息。具體的賬戶內(nèi)容可包括標題、用戶名和密碼等。

設置完成后，就可以在窗口列表里面看到剛剛創(chuàng)建的賬戶信息。當我們需要使用某個密碼的時候，可以按住鼠標左鍵，從該窗口中直接將密碼拖動到對應的輸入框，完全不用手動輸入?；蛘咧苯釉谀硞€密碼上雙擊鼠標左鍵，這樣密碼信息就會自動復制到粘貼板，這樣也可以幫助用戶快速的進行輸入設置（如圖8）。

小編提示

理論上，任何密碼都有被破譯的可能，沒有絕對的安全。注冊賬戶時，最好不要使用生日和姓名等有跡可循的密碼，密碼中應該盡量包含多種元素（字母、符號和數(shù)字）。小編建議大家為不同的賬戶設置不同的密碼，嫌麻煩的“童鞋”，則可根據(jù)賬號重要性，設置幾組不同的密碼。