关于网络密码的可怕真相

在2010年12月，Gawker网络被黑客攻破了，结果导致一系列网站如Lifehacker、Gizmodo、Gawker、Jezebel、io9、Jalopnik、Kotaku、Deadspin和Fleshbot同时出现安全缺口。如果你是我们旗下任何网站的一名评论员，你可能也有一些麻烦。

译者注：Gawker是最有名的明星追踪网站之一，其信条是“信谣、传谣、不造谣”。Gawker认为“人人都是狗仔队”，每个人都可以在看到明星之后到Gawker上爆料。Gawker上的猛料是百分之百的草根原创。这个多媒体博客站点还常常能把相对默默无闻的人物炒作成“贱男”、“恶女”。

这跟“黑色星期天”或者通过调制解调的方式攻击iPod固件不同，它还有“发布声明”呢——写得像《贝奥武夫》史诗一般豪情：

译者注：《贝奥武夫》（Beowulf）是一部完成于公元八世纪（约750年左右）的英雄叙事长诗。虽然历史上并未证实确有贝奥武夫其人，但诗中所提及的许多其他人物与事迹都得到了印证。本诗以西撒克斯方言写成，押头韵而不押尾韵，用双字隐喻而不用明喻，是现存古英语文学中最古老的一部作品，也是欧洲最早的方言史诗。它在语言学方面也是相当珍贵的文献。

嘿，我们又来了，而且这次是大获全胜，我们带来了很多战利品。前面几次进攻不是很顺利，不过我们没有放弃，还加大了火力。“脚本小子”，感觉怎么样？你的王国沦陷啦……你的服务器、数据库、网络账号、源代码，统统都被撕成了碎片！

你一直想出风头，好吧，看到了吧，我现在成全了你！

译者注：在计算机和网络领域里，“脚本小子”（script kiddie）是一个贬义词，用来描述以黑客自居并沾沾自喜的初学者。他们钦慕于黑客的能力和探索精神，但与黑客所不同的是，脚本小子通常只是对计算机系统有基本的了解与爱好，但并不注重程序语言、算法、数据结构的研究，虽然这些对于真正厉害的黑客来说是必备的素质。他们常常从某些网站上复制脚本代码，然后到处粘贴，却并不一定明白它们的方法与原理。因而称之为“脚本小子”。

你可以到网上去读一读这份“发布声明”。它完全是来自前线的第一手资料，非常详细地介绍了攻击的整个过程。

Gawker是由Nick Denton运营的一个网络（包含一系列网站）。他也因此而臭名昭著，因为他不惜突破道德底线，鼓吹“任何吸引眼球的东西都可以发布”，可以不择手段而无须有任何愧疚感。你还记得iPhone 4泄露事件吗？那就是Gawker干的！你还记得有一篇文章说“写博客的人正无形之中受到血汗工厂的工人一样的待遇”吗？那也是Gawker干的！你还记得关于博客官司的传闻吗？那可能也是出自Gawker之手！

有人可能会说，盗取网络账号并把它们晒出来，不正是Gawker以下流手段哗众取宠的一贯做法吗？（搬起石头砸自己的脚！）

就我个人而言，我对“我们从这次黑客攻击事件中学到了什么”更感兴趣。Gawker哪里让人有机可乘？我们怎样在自己的项目里避免类似的问题呢？

1．Gawker保存了用户密码。你绝对绝对不能保存用户的密码。如果你这么做了，你可能正以一种不恰当的方式在保存密码。记住，你应该保存密码的加权哈希值，而不是密码本身！这很容易做到，即使是“门萨俱乐部”的成员也无法从哈希值倒推过来知道用户的原始密码。

译者注：门萨俱乐部是一个做智力测试的国际组织，1946年建立于英国。俱乐部成员当中有商贾学者，也有主妇蓝领，因为一个简单的智力测验便汇聚在一起，闲来一道饮茶、出游、聚会。这些人兴趣不同，性情各异，但有一点，这些人普遍智商非凡。他们走到一起，只因为他们聪明。将他们拢在一起的这个圈子，叫“门萨”（MENSA）。

2．Gawker使用的加密方法不对。很奇怪，他们选择了古老的DES加密算法，这意味着他们保存的密码都被截断成8个字符。不管用户实际使用了多长的密码，你只需猜对密码的前8位字符就可以登录了。选择一个好密码是很有讲究的！加密方法用起来也有门槛：如果你不懂加密，你也不能有效地使用它。我得承认我的智商还不够，在加密方面我做得也不好，这一点你可以从“为啥我的加密不生效”一文中看出来。

3．Gawker要求用户在它的网站上创建用户名和密码。他们在网站上发布的“常见问题”里有两个问答非常有意思：

2）如果我用Facebook Connect登录了会怎么样？我的密码会被泄露吗？

不会。当用户使用Facebook Connect登录时我们绝不会保存他的密码。

3）如果我把Twitter账号和Gawker Media账号连接起来会怎么样？我的Twitter密码会被泄露吗？

不会。我们绝不会保存用户的Twitter密码，即使他们把Twitter账号和Gawker Media账号连接起来。

没错，如果人们用“互联网通行证”在这些网站上做身份认证的话，就完全不会有这种安全问题了！仅仅因为要在Giamodo上发一条评论就要求人家创建一个用户名和密码，真的有这个必要吗？这也太不环保了吧！那些信任Gawker而创建了独特的用户名和“安全”密码的用户们，到头来你们的这些私密信息都被人窃取后曝光了，真是可怜啊！

译者注：Gizmodo是美国一个知名科技博客，主要报道一些全球最新的科技类产品，涉及计算机、手机、PDA、数字相机、家庭娱乐等。Gizmodo是最早曝光第四代iPhone的网站。

（把话题扯远一点，“别作恶”不仅是我们在商业活动中应当遵循的一条基本原则，它在我们的个人生活里同样适用。我相信因果报应。如果你公司的使命就是通过玩一些游弋在法律边缘的伎俩来获取成功，那当有人对你以牙还牙的时候，你也别喊冤了。）

不过，老实说，对于Gawker引发的这次灾难，在我们尽情指责和嘲笑Gawker之后，其实也没啥特别或意外的东西留给我们。

关于网站的密码，在这里我要提醒大家一个可怕的事实：互联网上像Gawker网络这样的网站随处可见。让我们假设你在50个不同的网站上都创建了用户名和密码。那50个程序员对于怎样保存你的密码都有他们自己的想法。我得为你祈祷，我希望你为每一个网站都用了不同的（而且是超级安全的）密码。因为从统计学原理来讲，你已经被坏人盯上了。

换句话说，你访问过的网站越多，你以用户名和密码搭配的方式登录乃至信任的网络越多，这些网络中某个网站被人攻破的概率也就越大，正如Gawker被人攻破一样。结果呢？你的私密信息被晒出来，全世界人民都可以看到！到那时候，除非你在每个不同的网站上都使用了不同的强密码，你面临的处境将会非常恐怖！

有个坏消息：大部分用户都没有选择强密码。这一点已经被反复证明过了，Gawker被黑后曝光出来的数据也不例外。更糟糕的是，大部分用户在多个网站上重复使用这些差劲的密码。这也是为什么在Gawker被攻破之后，紧接着在Twitter上突然出现了可怕的“蠕虫”。（Twitter账号被人冒用来发送垃圾邮件。）

图片翻译（从左到右、从上到下）：

第1幅：密码之间的相关性极小。真正的危险在于密码重用。<>这是怎么回事？<>密码太弱   
第2幅：做一个简单的网站，提供一些像图片存储或者内容聚合这样的服务，这样可以吸引几百万用户来创建免费账号。 
第3幅：好了，你一下子得到了几百万个邮件地址、用户名和密码。  
第4幅：很多很多人都给他们的账号使用相同的密码，不管密码本身是弱是强。  
第5幅：利用你手上的用户清单和一些代理程序，到最流行的20~30个网站上去尝试自动登录，还可以试一些银行、PAYPAL支付平台等。   
第6幅：到这时候，你估计可以得到10几个网站上几万个有效的登录账号和密码，而且神不知鬼不觉！<>然后你想干什么？

现在你明白我为什么这么卖力地宣扬“互联网通行证”这个概念了吧？也就是说，你试图登录的某个网站，它可能完全没能力保障你的安全，你应该用一个你真正信得过的第三方公司的用户名和密码去登录这个网站。当然，这样也会把风险集中到一个地方（比如说Google或Facebook），但相比于不断冒出来的乱七八糟的小网站，我还是会更多地信任Google。实际上，你把其他网站的密码恢复邮件发到Gmail，已经表达了你对Google的信任。

我已不再想批评Gawker了。相反，我还要感谢他们——他们把关于网站密码的可怕真相昭示于天下：那些密码，其实我们没有它们会更好！面向未来，如果我们想避免像Gawker这样的密码泄露事件再次发生，我们就不能再轻易信任一些新出现的互联网站点，不要轻易为它们创建独特的用户名和密码！应该要求他们允许你使用你的“互联网通行证”——也就是你现有的Twitter、Facebook、Google或OpenID账号——登录他们的网站。