作为非安全专业人士，乱评一下最近的爆库事件

最近爆库事件频发，IT界人士虽然也很多人中招，但更多还是看热闹的。CSDN是技术站，IT男女们虽然看到自己的用户名密码泄露，但大多也知道及时修改其他网站的密码以免被社工。就算最不济的，至少也因为听说过爆库的事情而会考虑平时多用几个邮箱、帐号和密码。

我自己原本一直使用三套邮箱和密码在各处使用，前一阵子因为人人网被爆库，不少新浪微博帐号被社工，刚好看到fenng在微博上推荐keepass这个密码管理工具，试用了一下，感觉很顺手，就用了一个周末将自己主要登录网站的密码都修改了一轮。这个工具的好处是只需要记住一个masterpass，然后就可以每个站使用不同的密码；为了防止单点故障，以及方便在家中单位同时使用，用了绿色版的keepass+dropbox做同步，也还算方便。

但是使用下来也感觉，keepass这种工具，设计上还是太工程师了，实在不适合非IT人士使用。现在虽然有在线的LastPass服务，与keepass的功能类似，因为数据在线上，而且设计相对人性化的关系，用起来更加方便；但是既然是在线服务，其本身自然也存在被爆库的危险，安全性上打了个折扣。另外，让非IT业内的普通用户选择这种看似不可靠的平台保存自己重要的密码，就算LastPass的安全措施比在线银行还要更到位，普及上还是非常有难度。

那么，非IT业内的普通用户要如何保护自己的帐号安全？

因为我老妈也是重度互联网用户，所以也与她探讨过这个问题。老妈就是那种一个帐号+一个密码在各个网站注册的那种典型用户，我跟她说三套账户密码的方法，她听了就头大；不过，她有些习惯，个人感觉作为基础的防护也已经不错了：

1、银行、支付宝、淘宝等帐号的密码，一定跟平时网站用的是不一样的。

2、用于在各个网站注册所留下的邮箱密码，也跟网站的注册密码是不一样的。

为了避免忘记，老妈会把重要的密码记录在小本子上。虽然方法比较原始，但此法相对于keepass这种存在电脑里的密码，其实安全系数还相对更高一些。

老妈没什么常用的IM帐号，所以对IM帐号没啥特别防护。对于在QQ、MSN上比较活跃的用户，因为这种账户泄露容易造成诈骗事件，所以个人建议常上IM（或者微博这种比较有身份代表性的服务）的用户再加上一条：

3、用于QQ、MSN、微博的密码，也要跟网站的注册密码不一样。

对于普通用户而言，能做到这样应该也已经挺不容易了。

长远来看，密码这种方式肯定是要落伍的，其麻烦的本质决定了它的通用安全性高不到哪里去。像是人脸识别、指纹识别这种身份技术，未来用在银行系统，继而用在互联网之上，倒是很有可能。终端（可能是PC或移动设备，或者ATM机之类的）通过人脸识别确认用户的身份，服务器端（云端）再通过识别设备来获取用户的身份，这是一个相对合理的流程。

如果实名制互联网是这样实现，无论它是不是通往寂静之城的第一步，都还是有其积极意义的。

最近这轮的爆库事件，可能只是一个起点，它暴露了一个事实：使用了几十年的密码机制，已经无法满足现代互联网对安全性方面的要求。前方，是方便与安全的两难，是新兴的安全市场，同时也是从匿名到实名的互联网。

变革近在咫尺，互联网将往何处去？

==========

下面推荐两篇文章做个参考，如发现好文会持续更新：

http://coolshell.cn/articles/6193.html 
酷壳陈皓对爆库事件的分析，主要针对搞Web开发的人群。虽是老生常谈，却也是很多人一直没有做到，直到出事故之后才想起来的问题。

http://hi.baidu.com/caoz/blog/item/edcc36d3f812891e3af3cf28.html
@caoz在csdn爆库事件之前，人人网被爆库之后写的一篇总结，主要针对数据库的保护。