不安全的网络密码托管服务

因为对Passport的关注，所以对于那些简易登陆的应用都比较关注。今天有朋友给我推荐了一个站，叫“密码盒子”（[url]http://www.kesono.com/passbox/Login.asp[/url]）。好象这个站还被HAO123推荐到首页的“酷站”里边。

这个网站提供的服务和以前单机的密码管家一类的软件相同。就是帮用户保存密码。减少用户记忆大量密码的困难。

单机的软件，数据被保存到自己电脑里，相对安全性就好控制一些。但是如果放在网上去，这就存在很大的安全顾虑。这不是说是否信任网站的问题，因为网络的安全问题，并不是一个网站自己可以防范的。

为了体验一下，我也注册了一个帐号，测试一把。发现问题不少。

1、这个站是让用户将某个站的用户名、密码都保存到自己的数据库里边，是明码的。

    也就是说，任何人如果获取到了这个数据库，就掌握了使用这个站的所有人的所有服务的密码（太恐怖了）。而能够获取的人，不只是网站管理员，也包括黑客（网络永远没有绝对的安全）；

2、这个站没有使用HTTPS，所有的传输数据都是名文，所以，如果中途有人拦截数据包，就可以知道用户的用户名、密码……。

    虽然这个问题很多没有HTTPS的站都存在，但是，如果有一个站是专门提供这个服务，黑客完全可以就拦截到这个站的数据包，然后事半功倍的获得大量的“用户名+密码”。

3、这个站的登陆方式，是使用GET参数的方式，将用户名、密码发送到目标站。

    比如我加了一个新浪的，点自动登陆后，登陆地址是： [url]http://mail.sina.com.cn/cgi-bin/login.cgi?u=hezhiqun&psw=tenglong[/url]。很明显里边有明码的密码tenglong。

    首先，这个是利用了大多数登陆验证页面没有过滤GET方法的漏洞，其次，这种地址，将保留到浏览器的访问记录中，任何一个再次使用这个电脑的人，都可以通过这个连接登陆服务。

……

另外，我最近正在策划一个统一登陆的方案。其中就考虑到这种“密码保存”的服务。但是最终没有作为重点，因为这个服务，漏洞太多，安全性太难确保了。

不过，简化用户登陆步骤，减少用户记忆密码的负担还是一个很有意义的事情。只不过，在这个问题上的确需要很审慎才是。

PS：统一登陆方案，欢迎有实力的投资人给予天使投资或者风险投资。

本文出自 “网络新势力” 博客，转载请与作者联系！