你是Linkedln密码泄密事件的下一个受害者吗？

事件回顾

根据报道，一位自称为“和平”（Peace）的黑客正以5比特币价码（约合2200美元）出售1.17亿条LinkedIn登录凭证。根据得到的消息所知，这些数据源自LinkedIn于2012年遭遇的一次数据泄露事故。

LinkedIn公司发言人Hani Durzy坦言，2012年曾被发布到网络上的650万条密码哈希值可能只是失窃信息中的一部分。“我们不清楚到底有多少密码已经流出，”Durzy在电话采访中表示。

领英团队就该事件给出相关解释：

“LinkedIn.com网站于2012年6月遭遇黑客攻击，当时总计1亿6737万910个账户的数据副本被LeakedSource所获得，但其中只包含邮件与密码。大家可以在我们的主站中搜索到当时泄露的LinkedIn.com数据库及大量其它信息。如果大家的个人信息也存在于该数据库中，请与我们联系，我们将免费将其从副本中移除。”

泄露原因

早在2012年，Linkedln就已经发生过密码泄露的事件。究其原因，是因为虽然LinkedIn声称用户账户经过SHA1算法进行散列处理，但并未进行“撒盐”处理。撒盐身份管理是操作系统中进行用户口令信息管理和身份认证的方案，该方案主要包含口令管理信息生成，账户信息数据库的口令信息维护和身份认证三个部分。

而破解最近泄漏的LinkedIn SHA1加密密码的方法也很简单：猜一个密码，生成它的SHA1哈希值，搜索泄密密码哈希数据库，寻找是否匹配，如果匹配，则该密码是一个有效密码。在使用默认的字典的情况下4小时就能破解90万常见密码。

本次泄密事件涉及的人群范围巨大，而且黑客要是通过社会工程学的手段窃取涉密账号所涉及的同事、合作伙伴，带来的危害是十分巨大的。不仅仅是Linkedln，Facebook的安全事件也是频频爆出，我们可以通过在11年发生的这件事窥见一斑：德国法学生 Max Schrems 根据欧洲法律成功向 Facebook 要到了自己被收集的所有信息，结果他收到的是一张有 1222 个 PDF 文件的光盘，上面有他以往在 Facebook 的所有行踪，更令人吃惊的是这其中还包括了他已经删除了的信息。之后不久Facebook 又被爆出新的用户数据使用条款规定用户存储在第三方应用上的信息并不会随应用被删除。

国外安全事件频发，国内此类事件也是层出不穷，要是关注我们微信号细心的读者可以发现在我们的每日安全播报中，有关密码泄露的事件是占了很大一个比例。网易邮箱涉及近5亿条的用户数据被泄露；携程系统被爆出存在技术漏洞，可导致用户个人信息、银行卡信息等泄露；小米论坛官方数据库泄露，泄露的数据带有大量用户资料，可被用来访问小米云服务并获取更多的私密信息，甚至可通过同步获得通讯录、短信、照片、定位、锁定手机及删除信息等。

如何防范

通过这件事我们可以得出一个经验教训就是：对于用户来说，即使是陈旧的泄露数据有时候也仍具价值，因为其中部分密码可能仍在为用户所使用。所以如果用户在这四年来一直没有变更密码，那么就需要立刻更改密码。

从已经泄露的最常见的密码内容来看，大多人对密码的设置十分的随意，这就可能会在安全事故中遭受更多的危害。

LinkedIn最常用密码前10位

当密码泄露、隐私侵害的事件频频爆发的时候，如何设置一个安全的密码就显得十分的重要，要知道，一个成熟强壮的密码体系不能降低你遇到信息泄露的概率，但是能在你遇到此类事件时最大限度的减少你的损失。