今天,你的密码泄露了吗?
去年年底轰轰烈烈的密码泄露惨案似乎没有能引起国内网站的重视,绝大部分的网站仍然没有采取正确的措施来保护用户的账号。我在此不想考究各大网站的技术实力,只想从最简单的登陆功能来看一个网站是否对用户的账号负责。
上个月爆出了一个新闻“黑客伪造免费 WiFi 盗用户账号密码”。
从技术上来讲,黑客能通过伪造 WiFi 获取密码是因为密码在网络中是明文传输的。
那么,什么时候你的密码会在网络上传输呢?绝大部分是你在登陆网站的时候。假如网站没有采用加密的方式来实现登陆功能的话,你的密码就会在网络上明文传输,也就可以被黑客获取到。不幸的是,绝大部分国内的网站都是不采用加密登陆的,而绝大部分的国外网站都是加密登陆的。
下面按照不同的类别,列出了国内常见的大型网站的“账号安全”情况。“正面案例”就是采用了加密措施保护用户的账号和密码的网站,“反面案例”就是没有采用加密措施来保护用户的账号和密码的网站。
1. 门户/平台
正面:网易,搜狐,360
反面:新浪,凤凰网,腾讯
作为一个日流量过千万的大型网站,竟然连最基本的用户账号安全都没有考虑周全,真是太不负责任了。特别是腾讯,你对得起那么多QQ用户吗?对于这类网站的安全性缺失,我只能用无语来形容。
2. 邮箱
正面:QQ邮箱,网易邮箱,搜狐闪电邮,139邮箱,126免费邮
反面:新浪邮箱,21CN,Foxmail
邮箱常常作为其他网站的账号,一旦邮箱密码泄露,后果可想而知。还好大部分的邮箱都做到了加密传输用户名和密码。不过我还是建议使用国外的邮箱(例如Gmail)来保存重要信息。
3. 电商
正面:京东,淘宝,凡客,亚马逊,当当,苏宁,国美
反面:拍拍,梦芭莎,马萨马索,好乐买,银泰,麦考林,红孩子
这一类网站很有意思,基本上财大气粗的都做的挺好,而二线玩家都没有考虑到账号安全这一点。令人惊讶的是拍拍竟然是反面案例。到今天我才想明白原来腾讯的电商做不好是因为技术不过关。
4. 团购
正面:无
反面:美团,高朋,聚美优品,糯米网,拉手网
全军覆没,正如这个行业一样。
5. 社交网站/社区
正面:百度贴吧,豆瓣,网易微博
反面:人人网,开心网,新浪微博,腾讯微博,天涯,猫扑
我相信社交网站上保存了大量的隐私内容。账号不安全的话,不知道又要搞出多少个艳照门。而现实情况是,大部分社交网站都没有考虑到账号安全这一点。令人气愤的是新浪,似乎新浪旗下没有一个网站采用了加密传输,难道新浪的技术不懂什么叫做 HTTPS?