关于密码——你们不知道的很多事情

3.一次一密就安全了么？

    差了远了去了。你有没有在别人机器上登录的经历？你可以信任他么？你自己家里装的一堆插件你都相信么？你确定他们对你的银行密码没有兴趣？你要知道，银行开发安全插件的人和做恶意插件的人是同一个圈子的人——不会攻击就不能防范么。而且我们阴谋论一点说，你就确定这些软件商没有接到上级指令要求加入后门？现在你还敢在自己家里的机器上装中国软件么？QQ，迅雷，这些都算大软件，看着的人比较多。你自己可以搜他们抓你行为上传的文章——用谷歌搜。其他小站点的各种软件呢？你装了多少？

4.还有哪些比较低级的情况？

    当年，有一个网站，提供一个功能。你可以在他的网站上直接登录其他邮箱。相信我，这可比这次的问题严重多了，那可是一收集一批阿。

5.为什么我以前都不知道？

    要和你说我们有安全问题，你还用不用了？

    再说我和很多人说起过这些问题，他们当年的态度都是——没关系，反正没人会对我的信息感兴趣的。我估计这次，还有不少人会说——没关系，反正我没有CSDN帐号/人人网上面的数据看到就看到咯。

    很多人第一次知道安全问题的严重性，都是在他们丢了钱之后。往往都是莫名其妙，钱怎么丢的？

6.那银行呢？

    银行还是相对安全的，不过你要确认银行有以下几个功能。登录失败警告功能。五次登录失败自动锁定账户，要隔天由本人解锁，解锁后最好强制更换密码。关闭网银和电话银行功能，不拿着本人身份证经过24小时以上申请不能打开。密码丢失需要一周以上的时间才允许重设。大额取款通知用户功能。

    听上去很麻烦？通常来说，越麻烦的银行越安全。以上功能都有了，并且使用了，那么银行本身而言，还是比较安全的。

7.可是我要用网银。

    那你用U盾，而且不要用水货版的。我07年选择招行的理由是，招行是唯一当时我觉得没有安全问题的银行。现在这个列表应该加入浦发，并成为首选——对linux友好而且不容易破解。但是不要用只有手机动态密码的模式。

    有些U盾就是密码文件隐秘的放入的一个U盘，这种U盾我都可以复制出一堆来。用上这种U盾，最多满足你自己的心理因素。

    而且，更好的方法是对信用卡申请网银，而银行卡关闭（如果银行支持的话）。这样的话损失最大不超过一张信用卡可用额度，我目前的信用卡而言，最多一次损失几千——总好过几万的学费吧。同类的思路可以选择支付宝，你一次打个1000进去可以用一阵，丢了只有这1000。

8.你知道U盾的正确用法么？

    U盾应该在需要的时候才插上去，用完立刻拔出。虽然说不像拆炸弹，不过还是插入时间越短越好。

    因为很偶尔的情况下，入侵者刚好在看你的电脑。发现U盾后，可以指挥你完成登录的网银系统进行交易。但是网银交易必须以U盾为基础，拔掉他们就干不了坏事了。

9.为什么手机不是安全设备。

    手机安全是相对的，只能说比电脑安全。你以为手机就安全？首先，智能机上面已经满足了恶意软件存在的基础。例如小米——虽然我很喜欢他——你确定雷布斯没有在小米里面加入后门，截取你的密码再偷偷转发？现在没有——以后呢？同样，你确定你信得过苹果？将来苹果也不会出现安全漏洞？

    即使退一步说，你的手机很安全。来，把手机给我，不要看它，然后告诉我，手机里有多少软件可以读取你的本机信息，有多少可以读取短信？即使是完全安全的系统，我只要写个小游戏，号称因为需要短信分享，需要操作你的短信。你会怀疑么？我趁着你不注意，读取你的手机，和泄露出来的卡号-手机信息交叉比对。对你的卡号申请动态密码，然后让我的程序偷偷的拦下来短信 ，不让你知道，发送到服务器端。你是不是丢钱丢的莫名其妙？

    相信这条写到这里，九成九的用智能机的朋友已经满脸汗了——妈的这些程序能读取我的银行卡动态密码？技术上说，真可以。

    普通手机用户也别高兴，我没记错的话，GSM协议已经被破解了。就是说，我可以在你旁边拿个设备直接接受你能收到的短信。这TMD叫安全设备？

10.那你说的keepass？

    这东西能在手机和电脑上运行，就肯定不安全。数据文件放在硬盘上的时候没问题，即使入侵者拿到也没办法。但是你输入密钥的时候有keylogger就完蛋了。

    所以我只在linux和android上用，虽然android不安全，但是目前我还不知道有keylogger。

11.妈的，我还有什么安全的。

    这个真没有，RMS说过，安全是个笑话。让用户来完成安全更是笑话中的笑话。当然，没有用户的安全意识，银行/网站再努力也没用。但是本质上说，应当以侵犯隐私去起诉泄密单位，而且应该打下来是巨额赔偿。

    然后这个事情就会变成，各家单位纷纷表示，我们不对免费用户的信息安全负责，并且推出免责条款。然后又是扯不清的糊涂帐——如同我们今天的EULA一样。

    只是在景德镇，你连操作第一步的机会都没有。还是用脚投票，放弃一些实在不安全的公司吧。例如业界很知名的某个做恶意软件出身的公司，还有某个买了这个公司的前身的大搜索软件商。某个以动物作为Logo的公司，还有被国家大哥曝光多次的某家公司。凡是业界已经臭了名声的，最好都别用。

12.日子还过不过了？

    淡定，我明天还会写一篇，你要注意的东西。虽然不说一定安全，不过普通用用问题不大的。