安不安全,我们说了真不算
这个年代,安全感很重要。
实名社交网络的用户将个人资料拱手相送,电子商务网站那里很可能有你的信用卡信息,智能手持设备更让地理位置的暴露变得更加 “简单”。
假设这些私密信息是保存在各大网站的 “保险箱” 里,那么 “密码” 无疑是最重要的保护线。而我相信,你绝对不希望这些掌握了大量信息的互联网公司将密码明文保存或者随意放置。
可偏偏就有这样的荒唐事。
Troy Hunt 是软件工程师、微软最有价值专家,他的最新博文就对跨国零售巨头 Tesco 来了一次疯狂吐槽。事件起因来自于一条 Tweet:
本着伟大的探索精神,Troy Hunt 对 Tesco 英国站进行了一次小小的安全性调查。要点摘要如下:
- 如推文所说,密码提示邮件里的密码没有进行加密处理。
- Tesco 声称自己的网站是很安全的,至于 “为什么是安全的” 这个页面,让我告诉你,这个页面本身不安全。此时那句 “It is safe to shop at Tesco.com” 是那么刺眼。
- 注意!如果你的浏览器太低级(不够安全),你可是不能够登录 Tesco 购物的!你需要的,是 3.0 版本以上的 explorer 或者 3.02 版本以上的 Netscape!
- 不在 HTTPS 下也可轻松登录。
- 诡异的密码规则:6 至 10 位,只能包含数字和字母。可我记得老师明明告诉我们:密码越长越好,有符号更佳啊亲!
- 其他提到的严重问题:错误的安全配置、陈旧的 web 服务器与架构、无意识缺陷(指 Tesco 自己都没有预料到自己的不足)
吐槽过后,作为微软最有价值专家,本着严肃的社会责任感,Troy Hunt 还给全世界的开发者们提了一些建设性意见:
- 密码存储这项工作必须在哈希算法下完成
- 密码应不可检索
- 永远不要在 HTTPS 页面里混入 HTTP 内容
- 在 HTTPS 下发送认证 Cookies 信息
- 密码条件不应该有限制
- 保证基础安全设置正确
密码安全已经成为大多数人的敏感地带。随着在网络上储存的信息越来越多,网民们对密码的重视程度也与日俱增。但毕竟密码的最终安全并不掌握在用户手里,用户能做的最多也就是设置一个高安全性的密码。如果密码存储这一方面不够完善,那么密码设置框旁边的小绿格也无法让人安心。
想必很多人还记得去年年底爆发的密码泄漏事件,中招的网站有程序员云集的 CSDN,中国实名社交网络代表人人网,最大的网络社区之一天涯网等等。类似的事件在国外也时有发生,大约两个月前的 LinkedIn 密码泄漏事件同样掀起了轩然大波。一次又一次的密码泄漏事件后,想必中国的网民们在密码安全方面也会留多一个心眼。但说实话,正如上文所说,用户能做的不多。
因此,真心希望手握大量数据的各类网站能在密码安全方面多做点实质性工作,而不是用一次又一次的 “我这里很安全” 来忽悠用户,其可信度我想跟 “我已经阅读并且同意用户条款” 差不多,而后者被很多人认为是 “这个星球上最大的谎言”。我没有在瞎说,不信看看我们发的这条微博。
题图来自 digitaltrends