关于密码安全：一次惨痛的教训

追加修改(2015-08-06 17:53:30):
注：帖子能够引起大家这么多讨论也是很欣慰。大家也有推荐keepass等其他工具的。找到自己喜欢的就好！再次感谢大家支持！

最近被密码泄露的事情搞得是焦头烂额 。一直以为密码泄露这种事情，就算发生在自己身上也没什么危害，支付宝里面没余额、网银里面没存款（典型的DS）。结果是真发生了才意识到有多严重。如果自己早期能够加强安全防范意识，这次事件是完全可以避免的。这里把这次事件做一个记录和总结，分享给值友，相信值友们都是经常混迹网络各个角落，希望大家也能够引以为戒（顺便看能不能骗点金币 ）。

1.事情的开端

某日发现自己在公司的BUG系统（没错，我还是IT从业人员 ）中频繁被踢出，并且踢出以后重新登录发现密码不正确了，加上最近任务重、时间紧（好像没有任务不重，时间不紧的时候 ）没有太重视。联系后台管理直接给我修改密码了，没过几分钟发现又被踢出了。这个时候其实我还没有觉得是我的密码出问题了，还以为BUG系统有BUG（:)）或者我的操作有问题（:)） ，只到我打开我的163邮箱，发现有BUG系统发送的密码找回邮件，才恍然大悟有人能够进入我的163邮箱。于是乎赶紧修改163邮箱密码，谁知这才是悲剧的开端。我发现我居然修改不了我的163密码，因为不知道在某年某月某日我用了163的密保卡，天啊，N年前的事情了，电脑换了几台了，家都搬了几次了，上哪找我的163密保卡。申诉也失败了，服了163了，修改密码无门，我开始了和这次黑客（熊孩子）的对抗之旅 。

提示1：查看你常用的密保邮箱，确定自己能够修改密码及密保都工作正常。

2.分析

这肯定是一次非技术入侵，早几年CSDN明文密码泄露，自己是有CSDN账号的，没有去注意，也没有修改对应账号的密码（是的，我就是传说中的一密流，一个密码走天下），为确保自己的猜测，到网上去搜索了上次泄露的密码，自己的密码赫赫在目啊T_T。确认这点之后稍微有点放心，技术流黑客咱们防不了，熊孩子咱还搞不定吗，好歹还是从业人员呢，于是我开始放弃163邮箱，转投别的邮箱作为密保邮箱，修改密码等。

提示2：关注密码泄露，定期修改密码，不要当一密流。

3.假尾声

后续虽然也有别的账号被修改，但及时修改密码，调整密保倒也没有什么大的问题。期间发生一件事是熊孩子QQ联系到了我的上司，试图找到突破口，由于经常和上司沟通，他也知道这件事，也就一笑了之，以为这件事到此结束，谁知在平静了两天之后爆发了（真是暴风雨来临之前的平静 ）。

4.高潮

公司论坛失陷，具体来说是所有的管理员账号被人修改了密码，上司的QQ被盗，淘宝被登录…。经过一系列抢修还算恢复正常。这就是高潮？没爽？你以为会上演黑客大战？想多了。不过到这已经相当严重的了。

提示3：不要小看自己的密码安全，因为你可能会危及到别人的账号安全。

5.解决办法

一系列修改密码，查找漏洞操作后，我们开始痛定思痛。

5.1 加强安全意识

自己不注意安全，被盗号之类的那就是no zuo no die啦（说的就是我 ）。要想知道自己的密码是否已经被人泄露了，建议搜索下自己常用的用户名，如果有结果出来，恭喜你被泄露了，赶紧改密码去吧，还有不要以为泄露的密码是有md5加密的就没事了，网上有一个传说中的大数据库，用于很多md5的结果搜索一下出来就能知道你的明文是什么了。不要盲信网站论坛等宣传的安全手段，真的不太安全。

5.2 借用工具生成、保存密码

见的密码什么生日啊，电话啊之类的都不算是特别安全的密码，那什么是安全的密码呢，就是你自己都记不住的随机串，完全猜不透，借用风太师叔的话“无招才能做到不被破招”，你自己都不知道规则那别人还怎么透过你的信息来猜测你的密码呢。其次不同的账号使用不一样的密码，确保做到就算一个网站沦陷了不会影响你其他账号，不要忽视，你的确有很多账号，很多你自己的想不到的熊孩子会帮你记起的。要做的这两点人脑是完成不了了。好在还有很多工具可以帮助我们，比如1Password,dashlane等。其中1Password是跨平台的，mac、pc、ios、android都有。dashlane是在线存储了，不放心，万一他要是挂了，那还不完全沦陷。下面就以1Password为例来一个简单的教程。

6.1Password

工具下载安装就不说了，搜索一下你就知道。1Password是付费软件，至于破解么，我不说你也懂的（支付付费软件保证软件行业健康发展）。Mac版界面如下：

话说大妈，在Safari下上传图片插件错误是什么鬼？

简洁清楚，就不再赘述了。

要想方便的使用还得安装一个浏览器客户端，你也不想每次登陆账号总要打开软件，复制一下密码，然后粘贴，会死人的好伐。安装步骤也简单，搜索一下你就知道。打开后是这样：

没错，注册账号的时候就选择密码生成器，他会根据你指定的长度生成这样类似的密码：cPxA9m[DUiVTh>)rbQ*i4eQ% , 这都是什么鬼，相信这样的密码应该是强密码了吧。不用担心你记不住，使用浏览器插件以后，1Password会提示你是否保存，以后他就记住了，当你在网站登陆的时候使用```Command+```（没错这是mac上的，windows上的还需各位看官自己尝试了）1Password会帮你自动填入的。

最后别忘了给手机上装一个。

7.结束

不说了，老板叫我去修复服务器了。祝密码安全，远离侧漏~（呃，泄露）

小编注：感谢楼主的分享，对于经常在网上“剁手”的值友们，请注意密码安全。