1.hash密码安全么?
只要你的原始密码不大复杂,hash密码也完全没有安全性可言。不信?echo 'abc' | md5sum,去 www.cmd5.com,看看有没有。同样,拿你自己的密码试试看?
2.国内哪些网站不是明文密码。
我说出来你信么?再说,配合1,这个问题重要么?一次一密,经常修改才是王道,长度和频率看这篇文章《 密码管理规范》。另外,现在记得去公布出来的密码表里面搜一下自己的密码。
3.一次一密就安全了么?
差了远了去了。你有没有在别人机器上登录的经历?你可以信任他么?你自己家里装的一堆插件你都相信么?你确定他们对你的银行密码没有兴趣?你要知道,银行开发安全插件的人和做恶意插件的人是同一个圈子的人——不会攻击就不能防范么。而且我们阴谋论一点说,你就确定这些软件商没有接到上级指令要求加入后门?现在你还敢在自己家里的机器上装中国软件么?QQ,迅雷,这些都算大软件,看着的人比较多。你自己可以搜他们抓你行为上传的文章——用谷歌搜。其他小站点的各种软件呢?你装了多少?
4.还有哪些比较低级的情况?
当年,有一个网站,提供一个功能。你可以在他的网站上直接登录其他邮箱。相信我,这可比这次的问题严重多了,那可是一收集一批阿。
5.为什么我以前都不知道?
要和你说我们有安全问题,你还用不用了?
再说我和很多人说起过这些问题,他们当年的态度都是——没关系,反正没人会对我的信息感兴趣的。我估计这次,还有不少人会说——没关系,反正我没有CSDN帐号/人人网上面的数据看到就看到咯。
很多人第一次知道安全问题的严重性,都是在他们丢了钱之后。往往都是莫名其妙,钱怎么丢的?
6.那银行呢?
银行还是相对安全的,不过你要确认银行有以下几个功能。登录失败警告功能。五次登录失败自动锁定账户,要隔天由本人解锁,解锁后最好强制更换密码。关闭网银和电话银行功能,不拿着本人身份证经过24小时以上申请不能打开。密码丢失需要一周以上的时间才允许重设。大额取款通知用户功能。
听上去很麻烦?通常来说,越麻烦的银行越安全。以上功能都有了,并且使用了,那么银行本身而言,还是比较安全的。
7.可是我要用网银。
那你用U盾,而且不要用水货版的。我07年选择招行的理由是,招行是唯一当时我觉得没有安全问题的银行。现在这个列表应该加入浦发,并成为首选——对linux友好而且不容易破解。但是不要用只有手机动态密码的模式。
有些U盾就是密码文件隐秘的放入的一个U盘,这种U盾我都可以复制出一堆来。用上这种U盾,最多满足你自己的心理因素。
而且,更好的方法是对信用卡申请网银,而银行卡关闭(如果银行支持的话)。这样的话损失最大不超过一张信用卡可用额度,我目前的信用卡而言,最多一次损失几千——总好过几万的学费吧。同类的思路可以选择支付宝,你一次打个1000进去可以用一阵,丢了只有这1000。
8.你知道U盾的正确用法么?
U盾应该在需要的时候才插上去,用完立刻拔出。虽然说不像拆炸弹,不过还是插入时间越短越好。
因为很偶尔的情况下,入侵者刚好在看你的电脑。发现U盾后,可以指挥你完成登录的网银系统进行交易。但是网银交易必须以U盾为基础,拔掉他们就干不了坏事了。
9.为什么手机不是安全设备。
手机安全是相对的,只能说比电脑安全。你以为手机就安全?首先,智能机上面已经满足了恶意软件存在的基础。例如小米——虽然我很喜欢他——你确定雷布斯没有在小米里面加入后门,截取你的密码再偷偷转发?现在没有——以后呢?同样,你确定你信得过苹果?将来苹果也不会出现安全漏洞?
即使退一步说,你的手机很安全。来,把手机给我,不要看它,然后告诉我,手机里有多少软件可以读取你的本机信息,有多少可以读取短信?即使是完全安全的系统,我只要写个小游戏,号称因为需要短信分享,需要操作你的短信。你会怀疑么?我趁着你不注意,读取你的手机,和泄露出来的卡号-手机信息交叉比对。对你的卡号申请动态密码,然后让我的程序偷偷的拦下来短信 ,不让你知道,发送到服务器端。你是不是丢钱丢的莫名其妙?
相信这条写到这里,九成九的用智能机的朋友已经满脸汗了——妈的这些程序能读取我的银行卡动态密码?技术上说,真可以。
普通手机用户也别高兴,我没记错的话,GSM协议已经被破解了。就是说,我可以在你旁边拿个设备直接接受你能收到的短信。这TMD叫安全设备?
10.那你说的keepass?
这东西能在手机和电脑上运行,就肯定不安全。数据文件放在硬盘上的时候没问题,即使入侵者拿到也没办法。但是你输入密钥的时候有keylogger就完蛋了。
所以我只在linux和android上用,虽然android不安全,但是目前我还不知道有keylogger。
11.妈的,我还有什么安全的。
这个真没有,RMS说过,安全是个笑话。让用户来完成安全更是笑话中的笑话。当然,没有用户的安全意识,银行/网站再努力也没用。但是本质上说,应当以侵犯隐私去起诉泄密单位,而且应该打下来是巨额赔偿。
然后这个事情就会变成,各家单位纷纷表示,我们不对免费用户的信息安全负责,并且推出免责条款。然后又是扯不清的糊涂帐——如同我们今天的EULA一样。
只是在景德镇,你连操作第一步的机会都没有。还是用脚投票,放弃一些实在不安全的公司吧。例如业界很知名的某个做恶意软件出身的公司,还有某个买了这个公司的前身的大搜索软件商。某个以动物作为Logo的公司,还有被国家大哥曝光多次的某家公司。凡是业界已经臭了名声的,最好都别用。
12.日子还过不过了?
淡定,我明天还会写一篇,你要注意的东西。虽然不说一定安全,不过普通用用问题不大的。