黑客爆料手握 14 亿腾讯用户账号信息，腾讯回应「不属实，系历史资料拼凑、注水而成」，如何看待此事？

你们知道CSDN吗？国内最大的程序员论坛，之前就被脱库了，更搞笑的是这个自称最专业的IT论坛它的用户名，密码，邮箱等资料全是明文存储的，所有信息直接泄露。我的CSDN账号当时也泄露了，当时安全意识不足，很多平台账号密码一致，然后魔兽账号等都被盗了。

你说可笑不可笑，其实这是常态，你知道的网站大部分都被脱过裤至于传统的酒店，医院等行业就更常见了。

之前跟阿里的信息安全专家吃饭，他提到国内信息安全有一定保障的只有大的IT公司，这个信息安全部门不仅要防黑客还要防自家的，比如京东数据泄露这个内鬼干还是他的前同事（我记得是百度出来去的京东）。

为什么会经常被看到这类信息泄露新闻呢？最重要的原因是中小公司养不起也不太在意信息安全这一块，即便在IT行业也是如此，而传统行业的酒店、航空、政府、学校、医院等更是对信息安全完全几乎无视。为什么IT公司也经常忽略信息安全呢？最大的因素是无法产生利益，如果公司效益不好要裁员，信息安全部门的员工还经常是被关照对象。

别看很多公司的创始人是技术出身，但是对信息安全了解的很少，其实整个IT行业中信息安全都是比较小的圈子。经常有人说”你搞IT的呀，那正好来给我修修电脑“你告诉他不是修电脑的，很多人还会说”你技术一定很厉害吧，能不能帮我入侵下这个账号“或者”我的号丢了，帮我找回来一下“多数技术人员不懂信息安全的，所以不是每个搞IT的都是黑客，应该说大多数都不懂。

有公司被拖库，这是我们无法阻止的，我们最大程度的是避免被撞库造成更大的危险，如何让自家的账号秘密更安全呢？我之前写过一篇简单的防护文章，主要针对大众用户，供参考：

首先我们必须要清楚，我们的账号密码没有绝对的安全，但是我们能够多一些了解，就可以使得我们可以应付绝大多数的危险。要知道如何更安全，就要对盗取我们账号的手段有一些初步的了解，我们的账号密码平时最容易碰到的危险是：暴力破解、木马、拖库、撞库。

暴力破解

这是最原始，最早的方式，暴力破解其实是用的穷举法把每一个可能都试一下，比如一个限定三位数只能是数字的密码，最多也就是从000—999一共1000种排列组合，把每一个都试一下总会找到正确的密码。为了对付这种情况需要把我们的密码设置的稍微复杂一些，密码强度越高，越不容易被暴力破解，不要单纯的用数字、字母做密码。

现在的密码验证机制通常都设定最大错误次数以及验证码等方式来以应对暴力破解。当试误次数达到可容许次数时，密码验证系统会自动拒绝继续验证，有的甚至还会自动启动入侵警报机制，验证码也可以在某种程度上区分是人在登陆还是机器在登陆。

还有一种情况就是一些设备或者站点存在默认的用户名和密码，对这种情况我们应该第一时间改掉。

木马

如果电脑被木马入侵了，那安全性就大大降低了，木马有很多种，有的可以扫描你电脑里的文件等信息，有的可以监控键盘输入，总之，被木马入侵了，密码设置的多复杂都是摆设，是不是会被盗就中的是什么木马了。

对于这种情况我们需要养成良好的上网习惯，保持系统更新和安装杀毒软件也是通常采用的方法。同时也要警惕钓鱼网站，钓鱼网站最明显的区别是网址域名，比如近日头条的网站内的网址如果不是http://toutiao.com/xxxxx，那就要警惕了，现在常用的手机扫码和一些免费wifi也有很多陷阱，要多加留意。

拖库

密码的安全问题一方面在用户，另一方面在网站，这是我们所无法解决的问题。所有的网站都不是绝对安全的，尤其是国内的企业安全意识比较差，有的网站甚至是以明文形式存放密码，比如国内最大的程序员社区CSDN（过去），还有HTC手机也曾经以不加密的方式存储指纹信息而被入侵者获取。黑客会利用各种漏洞侵入系统盗取用户名、密码以及其它信息，这就需要网站对安全足够的重视，并且投入很多的人力物力去维护系统的安全。

用加密的方式存储用户名和密码就一定安全吗？不一定，一些简单的MD5加密一样很容易通过暴力碰撞破解，复杂一些的加密在加密算法不泄露的前提下安全性就大大提高了，即便被拖库黑客也无法得到你的密码。很多知名的企业都曾经出现过被拖库的情况，比如我们熟知的京东、网易邮箱等，黑客的入侵拖库往往是上百万条数据的泄露。

撞库

如果某个网站被拖库了，黑客通常会利用手上得到的账号密码去尝试登陆其它网站，如果你在多个网站的用户名密码是一样，那就很危险了。比如我在CSDN注册了一个账号yaoyao，密码 yao123,黑客在侵入CSDN网站盗取用户密码后会用这个用户名密码尝试登陆sina、163等所有他认为有价值的网站，因为黑客知道你的用户名和密码，其它网站的安全机制就形同虚设了，相关网站（包括游戏等）的账号蒙受损失就是顺理成章的事情了，所以尽量每个网站都有自己单独的密码。

较为常见的apple id被锁，很多时候就是邮箱被拖库，或者被撞库所造成的，不只是apple id，魅族也发生过类似的事情。

防范

针对上面的情况，我们自己能做的就是尽量让密码强度高一些，有默认密码的一定要改掉，每个网站都要有不同的密码。当注册的网站越来越多，密码的管理就成了问题，有很多的密码管理软件，比如Keepass、lastpass（在线）等。

如果你感觉密码管理软件太麻烦，可以按核心密码+关键字这样的方式来设置，比如我设置了一个核心密码是ghostwolf222，那我的今日头条的密码可以设置为TTghostwolf222，新浪微博的密码设置为WBghostwolf222，这样密码有一定强度也较为好记。黑客拿到这样的密码是不是可以根据规律猜出来其它网站密码呢？一般情况下黑客是不会去特别针对性的去研究你一个账号的，但是确实有这种可能性的，那我们可以再升级一下，比如把关键字所对应的字母或者数字后移一位，那我的今日头条密码就变为了UUghostwolf222，新浪微博密码就变为了XCghostwolf222，这样安全性就进一步升级了。

当然我们也可以把账号密码写在文本文档中，通过云同步到我们的电脑，手机，Pad等设备中，这里要注意的是云并的安全性也是跟厂商的能力有关的，比如魅族的云同步就出现过把云存储的数据同步到别人的手机上的情况，存放在本地电脑中了木马也会面临危险。如果你对此不放心，那就写在本子上，存在U盘上，采用物理隔绝的方式。

在这个信息化的时代，账号密码是很重要的，我们要重视，厂商也要重视才能做到尽量的安全