Blog

乱世用重典?密码泄露中招

今天发现我的 Twitter 客户端显示有未读 tweets,我进去一看,是一堆不认识的人发送的英文推。开始时我以为是谁给我发了一堆广告,结果扫了一眼推的内容发现里面并没有提及我。一时间我有些傻眼,不明白是怎么回事。仔细看了一下推的内容,才大吃一惊。

原来这些都是 reusable.py 这个用户的 retweet。reusable.py 做了一件事,他用社会工程学的方法,分析出了我的密码,登陆了我的 twitter 帐号,用我的 twitter 帐号 follow 了他。这样他的 retweet 就显示在了我的 timeline 中了。reusable.py 有一个网页,上面有个头像列表,说明这些人都被成功的弄出了密码,而这些只是一个小的 Python 程序完成的。网页上还放了一个 password.txt 文件,是一个密码字典,我看了一下我的 twitter 帐号就在里面。

过去 CSDN 弄出过这么一回事来,不过我没怎么在意,因为我的 CSDN 帐号没有什么可以偷的价值,而且我几次用 CSDN 的通行证登陆,都是特别复杂,所以我也懒得去改我的密码。而且我也确实是多个网站只用一个密码,因为我不擅长编造密码再保证不忘记它,小时候上网时我在电脑旁边放个旧本子,把我上过的网站的用户名和密码记下来,后来觉得这样特傻。其实我很早之前就知道我的密码不安全了,当时以为我的密码有大小写字母还有数字,单手输入的时候特别麻烦,再用 MD5 之类的算法变成密文后就不可破解了,结果去了那个网站上把我的密文输入进去马上就得到了我的原文密码,这给了我相当的震撼。不过我也实在是不像在密码上费心,所以一直抱着侥幸心理。上次 CSDN 密码泄露之后,我只是修改了我最最关键的电子邮箱的密码,其它的都保持原样,因为实在是太多了,多了就容易忘记。

我之前就听说过一些辅助记忆密码的软件,比如 1password 之类的,很多人也推荐过,但我对密码的要求之一就是可以随时携带,在任何地点都可以登陆,因此对这类软件都不怎么感兴趣。不过这次 reusable.py 来这一遭,让我觉得应该看一些这类软件。毕竟现在我的帐号可不仅仅是一两个论坛那么简单了,有一天把我的 VPS 帐号给盗了,那就没地方哭去了,银行帐号更是想都不敢想。这些网站,慢一点登陆不怕,就怕密码泄露出去啊。

过去看 Revolution OS 的时候,听 Richard Stallman 说,早期在 MIT 的操作系统里,是没有密码这个功能的,也就是说,登陆的时候只问你帐号而不问密码。我过去在试着登陆一个 ITS 服务器的时候,也确实发现可以随意浏览别人的文件。后来据说是被政府用户要求加上密码这个功能,但 RMS 这帮人蛊惑人们用回车键代替密码,也就是不设置密码。他们为了抵制这个功能,还破解别人的密码,给别人发信息来劝他们不用密码。当然在今天看来这很儿戏,但确实也反映了在互联网发展初期,人们比较倾向于不设防的。在不到 30 年之后,骇客、蠕虫、病毒之类的概念已经铺天盖地、屡见不鲜了。过去在用 Windows 的时候,装完系统的第一件事就是装杀毒软件,病毒也给杀毒软件开辟了一片广阔的市场。后来进入了互联网时代,人们对于计算机安全又有了新的认识。虽然说今天我们没法回到、甚至是想象网络早年人们对于安全的行为,但相比较我们战战兢兢保护我们的密码,不禁让人觉得非常讽刺吖。

2 comments

  1. 悲剧的 Windows Live | 我的空想特摄 - pingback on 2012/04/20/ 20:51
    沙发
  2. 对 LastPass 有些失望 | 我的空想特摄 - pingback on 2012/05/03/ 19:52
    板凳

Leave a Reply