无惧网站泄密账号保全我有招

痛并快乐着

杀毒软件继续免费，各厂商隔三岔五来一场口水战……，我原以为咱们互联网安全行业的2011年就这样安安稳稳地过去了。可眼看今年就要翻篇儿了，一场轰轰烈烈的改密码行动又席卷而来，就连我这样的资深大牛都坐不住了（呃，小编先别拍砖）。先是开发者社区CSDN数据库被黑客攻陷，600多万用户明文信息泄露。随后，又有多个网站被“脱裤”。看来，咱得找一个保全账号的好法子。

杯具了，CSDN的密码是明文

CSDN是国内最大的开发者社区，很多IT大牛都喜欢在此进行技术交流。可尼玛这网站的安全性也做得太差了，居然被“脱裤”，导致用户信息全部被曝光在网上。更让人大跌眼镜的是，这货的密码竟然是用明文存储，三岁小孩儿都能看懂。您忒不专业啊，老兄（如图1）！

稍微有点安全常识的人都知道，在数据库中存放密码都应该进行加密。例如，密码明文是123456，但是经过数据库加密后就可能变成asdfgh这种形式。如此一来，即便是数据库管理员，也不可能一眼看出用户密码明文。目前来说，比较常见的是用MD5算法进行加密。

MD5加密就一定靠谱？

MD5算法会将密码明文通过不可逆的字符串变换，加密成一个唯一的MD5信息摘要。如今，MD5算法主要分成16位和32位两种。使用两种方式对同一个密码进行加密后，16位的字符串显示的只是32位字符串的一部分，即去除了前八位和后八位剩下的那部分。

那通过MD5算法加密后，就绝对安全了吗？其实不然，黑客仍可通过“碰撞”方式进行破解。比如，通过MD5算法，我们可将“admin”加密成21232f297a57a5a7 43894a0e4a801fc3，可有人将把这些对应关系收集到了另一个“碰撞”数据库中，即“MD5对比数据库”。

当这个数据库中有几十亿条记录的时候，有心人士完全可以通过这个数据库进行“碰撞”，破解MD5字符串对应的密码明文（如图2）。通常，简单的密码明文都能被破解出来。虽然经过MD5算法加密的信息，同样也存在被破解的可能，但我认为密码不加密，这就是网站的态度问题了。

查一查，你的密码被泄了吗？

说到这，可能很多读者朋友便要开始骂娘了，不过笔者还是建议大家要淡定。当务之急，应该是先去看看自己的账号是否也已经中枪了。

我们进入到金山提供的“密码泄露快速查询”网页（地址：http://cs-test.ijinshan. com/security），在“用户名”输入框中输入自己常用的账号或者邮件地址。输入验证码后，再点击“查询”就可以对自己的账号进行检测。

倘若不幸，检测结果显示“您的密码可能被泄漏，请尽快修改密码确保安全”（如图3），那说明你的账号躺着也中枪了，赶紧加入改密码大军吧！

强壮的密码是怎样炼成的？

既然要修改密码，就要选择一个强度大的密码，可能新手们就要问了，怎样的密码才是强度大的密码呢？其实，有个小工具可以帮忙。

首先打开最新版的《360安全卫士》，依次点击“功能大全”→“新功能推荐”→“密码安全鉴定器”。在弹出的窗口输入待检测的密码，点击“检测”即可查看密码强度（如图4）。在此，笔者推荐大家使用80分以上的高强度密码。

如果实在是想不出高强度的密码（人工设置的密码，黑客往往可借助社会工程学原理破解），我们还可以使用SingK Password Producer（下载地址：http://www.skycn.com/ soft/8592.html）这样的专业软件进行生成。这货最擅长随机生成一些安全的密码。

启动程序后，我们选择“常规”。接着，勾选“批量输出输入KEY到文件”和“滤掉重复的密码（速度慢）”，再点击“输出文件”选项后的按钮，设置保存密码口令的TXT文件名。

随后，我们需要在“密码组成/复杂程度”选项中设置口令密码组成的内容信息。还可以在“自选字符”输入框中，添加一些其他特殊字符，并设置好“密码长度”和“生成数量”的数值（如图5）。

设置完成后，点击“开始”就能生成密码了。密码明文会保存在之前设定的TXT文件中（如图6），也会出现在“您可以从下面已生成的密码中选择”列表中。从列表中选择了某个密码后，程序会自动将其复制到剪贴板。

记密码，这样也行！

有了强壮的密码后，如何存放又成了问题，毕竟这些密码非常难记。坚决不做CSDN第二的我决定使用KeePass来管理密码。

从官网（地址：http://keepass.info）下载到软件安装包和简体中文语言包后，先安装KeePass主程序，然后将简体中文语言包解压到安装目录中。启动KeePass后，我们先依次单击“View”→“change language”→“simplified Chinese”，将软件界面捣鼓成简体中文。

点击“新建”创建一个存放账户的数据库，进入数据库配置窗口后，可以进行详细设置，普通用户使用默认设置就OK啦！KeePass窗口左侧是密码分类，右侧为对应分类的账户列表（如图7）。在左侧选择好分类后，我们再在窗口右侧点击鼠标右键，选择“添加记录”即可添加账户信息。具体的账户内容可包括标题、用户名和密码等。

设置完成后，就可以在窗口列表里面看到刚刚创建的账户信息。当我们需要使用某个密码的时候，可以按住鼠标左键，从该窗口中直接将密码拖动到对应的输入框，完全不用手动输入。或者直接在某个密码上双击鼠标左键，这样密码信息就会自动复制到粘贴板，这样也可以帮助用户快速的进行输入设置（如图8）。

小编提示

理论上，任何密码都有被破译的可能，没有绝对的安全。注册账户时，最好不要使用生日和姓名等有迹可循的密码，密码中应该尽量包含多种元素（字母、符号和数字）。小编建议大家为不同的账户设置不同的密码，嫌麻烦的“童鞋”，则可根据账号重要性，设置几组不同的密码。