从CSDN用户密码泄露谈一些非技术安全对策

这几天，CSDN和多玩，人人、百合、金山毒霸、CNZZ、天涯、178等网站大量的用户数据和密码泄露，相关的文件下载地址已经有很多了，所以简单写些关于网络安全的东西。



一、密码



关于CSDN泄密密码的分析请参看果壳的这篇文章 http://www.guokr.com/post/81267/


这是CSDN泄露的密码中使用率最高的前10个



数量 密码

235037 123456789

212761 12345678

76349 11111111

46054 dearbook

34953 00000000

20010 123123123

17794 1234567890

15033 88888888

6995 111111111

5966 147258369



很容易看出数字，并且是连续或是重复的数字最常被使用，并且单词也比较多的出现在排行前100的密码里。这里稍微讲下密码的问题，



长的密码就安全吗？



理论上越长的密码暴力破解就越难，但实际中情况稍微复杂，因为我们需要记住密码，因此在设定密码的时候我们更倾向于用单词或是生日等对我们而言容易记忆的密码，这导致很多长密码并不安全



比如dearbook1234，虽然很长但遭遇暴力破解的时候其实只是3个关键词 dear book 1234的组合，非常的不安全。



对于设置密码建议



使用数字和英文混合，但不要直接使用单词



比如即使你想使用 dear book 1234进行组合，也应该写成14ardeoobk32，即尽可能的避免常用思路



个人的一个建议使用完全随机的和自己无直接关系的密码，比如你看的一本英文书每行第n个字目连起来，然后在其中随便插入数字。为了方便好记，请控制密码长度在8-12位为宜，并且可以在特定位置用大写(对称考虑的话比如第2个和倒数第二个)



二、账户



我们在网上很多时候遇到某个东西在论坛里要下载就得注册一个账号，所以我们有很多账号甚至自己都忘记注册过了，你想知道一个人都上些什么论坛吗？很简单，只要知道他一个论坛的账号然后google一下，基本所有的信息就全放在你眼前了。



CSDN论坛密码被破后，很多人开玩笑说赶快去改银行卡密码吧，虽然是玩笑但很多人可能真的没有账号区分的意识，所以想介绍下个人的经验。



将账号分等级



银行卡、淘宝、支付宝、Gmail (原因后面说) 安全等级最高，请设置和其他一切论坛或邮箱不同的专有密码



个人邮箱账号、微博、人人等SNS网站、招聘网站 这些网站你填写了很多的个人信息，非常容易被针对(参见某个加了附近所有人facebook账号然后发现谁在facebook上说出去旅游了就去偷的那个美国小偷的例子)所以这些个人信息相关的账号，也请设置一个共用的密码，但注意这个密码仅限于这些个有个人信息的平台使用



其他所有，比如随便的论坛，设置个和自己主账号无关(注意是无关，即不但密码不通用，账号也要是小号)的账号，这样别人就很难通过邮箱的命名来发现你在各大论坛的行踪



这样简单的将账号分级的方法可以在没有技术手段的情况下最大程度上保护个人的信息安全。



三、邮箱的选择



这个部分写的原因你懂的，关于邮箱的选择



绝对安全的邮箱推荐 gmail live.com yahoo.com(注意是com不是cn，未来要是雅虎被收购XX巴巴收购了就彻底别用了)



关于gmail的一些事情估计会被和谐就不细说了，反正我的gmail是和银行卡有同等级密码的，其他的国内邮箱比如126 163 sina 等的安全性不够，这个原因你懂的就不详细解释了。



四、其他一些安全性



这些和技术有关作为扩展阅读的建议吧，我只列个简要提纲欢迎补充，具体的内容还请大家自己动手搜索了



CNNIC的根证书 这个还是不相信的好...



其他一般软件的选择 不论是纯数字杀毒软件、纯数字安全卫士还是扣扣后台都在偷偷收集你的数据，请用国外软件代替，毕竟美帝再怎么坏也不会针对你做什么，数字安全卫士可以替换为CCcleaner，杀毒软件可以MSE、NOD、红伞等。顺便提及不仅扣扣，skype也请下载国际版的...