在LinkedIn、Zappos、Dreamhost和其他最近被駭客入侵的著名網站之間，你最近可能一直在考慮自己的線上安全問題。但是，當這些網站中的一個被駭客入侵時，這意味著什麼？你如何保護自己？以下是你的密碼是如何儲存在網際網路上的，以及當你使用的網站被破壞時對你意味著什麼。

一個站點有很多方法可以儲存您的密碼，有些方法比其他方法更安全。下麵是最流行方法的簡要介紹，以及它們對資料安全的意義。

方法一：純文字密碼

工作原理：網站儲存密碼的最簡單方式是純文字。這意味著在他們伺服器的某個地方，存在一個資料庫，其中以可讀的形式包含您的使用者名稱和密碼（也就是說，如果您的密碼是testing123，它將作為testing123儲存在資料庫中）。當您在站點上輸入憑據時，它將根據資料庫檢查憑據是否匹配。從安全性的角度來說，這是最糟糕的方法，而且大多數著名的網站都不以明文形式儲存密碼。如果有人入侵這個資料庫，每個人的密碼都會立即被洩露。

我的強密碼重要嗎？不可能。不管你的密碼有多長或多強，如果它是以明文形式儲存的，並且網站遭到駭客攻擊，你的密碼很容易被任何人訪問，不需要任何工作。它仍然是重要的方面隱藏你的密碼，比如說，你的朋友，或其他人很容易猜到它，但它不會有任何區別，如果該網站被駭客攻擊。

方法二：基本密碼加密

工作原理：為了給你的密碼增加比純文字提供更多的保護，大多數網站在將密碼儲存到伺服器之前都會對密碼進行加密。加密，對於那些不知道的人，使用一個特殊的金鑰把你的密碼變成一個隨機的文字字串。如果一個駭客得到了這個隨機的文字字串，他們將無法登入到你的帳戶，除非他們也有金鑰，然後他們可以用它來解密。

問題是，金鑰通常儲存在與密碼完全相同的伺服器上，因此如果伺服器遭到駭客攻擊，駭客不必做太多工作來解密所有密碼，這意味著這種方法仍然非常不安全。

我的強密碼重要嗎？不。因為用金鑰解密密碼資料庫很容易，所以你的強密碼在這裡也不會有什麼區別。再次：這是在網站被駭客攻擊方面；如果你有一個愛管閑事的朋友或家人翻閱你的東西，一個強大的密碼可以幫助他們從猜測它。

方法三：雜湊密碼

工作原理：Hashed與加密類似，它將您的密碼轉換為一長串字母和數字來隱藏。然而，與加密不同的是，雜湊是單向的：如果你有雜湊，你就不能反向執行演算法來獲得原始密碼。這意味著駭客必須獲得雜湊值，然後嘗試多種不同的密碼組合，看看哪些密碼有效。

然而，這種方法也有缺點。雖然駭客無法將雜湊解碼回原始密碼，但他們可以嘗試許多不同的密碼，直到其中一個密碼與他們擁有的雜湊匹配。計算機可以很快做到這一點，藉助於彩虹表（rainbow tables），它本質上是一個數萬億個不同雜湊值及其匹配密碼的列表，它們只需查詢雜湊值，看看是否已經被髮現。嘗試在Google中輸入e38ad214943daad64c102faec29de4afe9da3d。您很快就會發現它是“password1”的SHA-1雜湊。有關彩虹表如何工作的更多資訊，請檢視本文，方法是編寫專家jeffatwood。

我的強密碼重要嗎？在這種情況下，是的。彩虹表由已經過雜湊測試的密碼組成，這意味著真正脆弱的密碼將很快被破解。然而，他們最大的弱點不是複雜性，而是篇幅。你最好使用一個很長的密碼（比如XKCD著名的“正確的馬電池釘”）而不是一個短而複雜的密碼（比如kj$fsDl）。

方法四：用少許鹽對密碼進行雜湊

工作原理：對雜湊進行加密意味著在對密碼進行雜湊加密之前，在密碼的開頭或結尾新增一個名為“salt”的隨機字串。它對每個密碼使用不同的salt，即使salt儲存在相同的伺服器上，也很難在彩虹表中找到那些salt雜湊，因為每個salt雜湊都是長的、複雜的和唯一的。LinkedIn以不使用鹽類雜湊而聞名，這使得他們在最近的駭客攻擊後受到了很多審查如果他們使用鹽類，他們的使用者會更安全。

我的強密碼重要嗎？當然！然而，不幸的是，我們已經到了這樣一個地步：計算機的速度如此之快，以至於許多人甚至能夠對鹹雜湊進行暴力破解。它可能需要很長的時間當然比使用彩虹表更長，但它仍然是可行的。這意味著密碼的強度仍然很重要，因為密碼越長越複雜，破解暴力攻擊所需的時間就越長。

方法五：慢雜湊

工作原理：目前，大多數安全專家都認為速度較慢的雜湊是儲存密碼的最佳選擇。像MD5、SHA-1和SHA-256這樣的雜湊函式速度相對較快：如果鍵入密碼，它將相當快地返回結果。在暴力攻擊中，時間是最重要的因素。透過使用像bcrypt演算法這樣的較慢的雜湊，暴力攻擊需要花費更多的時間，因為每個密碼都需要更多的時間來計算。

我的強密碼重要嗎？再次強調，由於強密碼更難使用暴力，因此強密碼在這裡絕對可以幫助您。如果你的密碼很強，可能需要很長很長的時間才能發現一個緩慢的雜湊。

如何避免密碼洩露？

那麼這一切對你意味著什麼呢？以下是您應該從這些資訊中獲得的資訊：

1. 不要使用安全性差的服務。雖然您無法控制公司如何儲存您的密碼，但您可以控制您註冊的服務。你不應該註冊使用純文字或加密來儲存密碼的服務，因為它們更容易被洩露。根據web服務CloudFare的說法，找到他們使用什麼的一個好方法是單擊“丟失密碼”連結。如果它在電子郵件中傳送你的密碼，這意味著他們可以訪問密碼本身，它不是雜湊的，可能是使用一種不太安全的方法儲存的。當然，你可以發郵件問他們，或者檢視他們的常見問題，看看他們是否自願提供這些資訊。
2. 使用強密碼：正如我們上面所展示的，你的密碼越強，別人破解和快速使用它的可能性就越小。長度比複雜性更重要。記住：任何密碼都是可以破解的，你只需要盡可能長的時間。這讓我想到下一點：
3. 總是在密碼被破解後更改密碼：即使你的密碼很強，但這並不意味著破解密碼是無懈可擊的，只是意味著破解密碼可能需要非常、非常長的時間。那些密碼薄弱的人可能在意識到洩露發生時已經讓自己的帳戶遭到了破壞，但是如果你的密碼需要幾天才能破解，你就有時間修改密碼，在他們發現之前讓你的舊密碼失效。
4. 為每個站點使用不同的密碼：如果你為每個帳戶使用不同的密碼，那麼即使你的一個線上帳戶被洩露，這些帳戶也會保持安全。如果你對每個網站都使用相同的密碼，那麼一個網站的漏洞可能會給你帶來全世界的麻煩。
5. 如果您不確定站點的安全性，請使用OAuth：我們以前討論過OAuth，它允許您使用Google、Facebook或Twitter帳戶登入。如果你不知道一個網站有多安全，而且它為你提供了使用OAuth的選項，那就去試試吧，谷歌、Facebook和Twitter可能會有更好的安全性，如果網站被攻破，你可以撤銷它對你的谷歌、Facebook或Twitter帳戶的訪問權。

標題圖片從帕爾蘇爾混音。