有天和一个朋友聊天,谈到微博注册。朋友随意说自己通常用一个邮箱注册,经常去的网站和邮箱共用相同的密码,因为这样方便好记。听完,我一直在思考这个问题,并把它发到围脖上:
你会有这样的坏习惯么?注册一个互联网服务(比如团购、微博等),大多数情况下会让你提供一个邮箱地址,你是否会习惯性地将邮件密码输进去。如此一来,你使用所熟悉的邮箱地址去登录这个新的互联网服务时,会将你的邮箱帐号和密码都暴露给第三方服务商。而这些服务器,也许会被黑客入侵……
围脖、团购、博客或一些论坛,为方便记忆和吸引回访,网站会尽可能将新注册用户的ID和用户最常用的邮箱相关联。比如,我曾经在新浪、搜狐、网易分别注册过博客空间,结果第二天,我就把这几个网站注册的ID和博客地址给忘掉了。因为,注册百度空间之后可以自定义路径,我习惯性的使用了自己的名字,发现竟然被我抢先使用,于是这个空间我一写就是5年。
显然,这些年来,许多网站吸取了注册ID被遗忘的教训,一般会支持用户使用邮箱、MSN、手机号等注册,注册的同时为用户随机分配一个ID,再将激活链接发送到关联的常用邮箱。激活以后,用户就可以直接使用邮箱地址登录了。类似的注册系统被广泛使用于微博客、团购网站。
现在,风险来了,发现很多人为了方便记忆,登录密码也和邮箱一样。结果就会造成,用户的邮箱登录信息,被大量复制到第三方网站。当然,大部分网站会将用户密码加密,但也有例外。在上面那条围脖的讨论中,就有网友这样评论:?
那么,对于已经将密码加密的,就安全了吗?
当然不是。尽管,许多网站将用户提交的密码使用了不可逆的加密算法,就连管理员自己都得不到登录密码,但却难不倒黑客。早已有黑客构造了MD5字典,输入一段加密后的字串,即可查到明文。当然,这不是将MD5信息逆向得出的明文,而是将若干条已知密码明文加密,再和加密字串相匹配。每查询一次,就会为这个网站贡献一条记录。
据精于此道的诺诺同学泄露,某年月日,国内某著名互联网公司的用户库被盗,黑客得到这个东西,就差不多得到一个超大型的密码库。
当那些记录了大量用户私有信息的微博、社区、团购网站一旦发生用户信息库被盗,就意味着有大量用户邮箱可以被其他人非法登录。
看了前面这些,你还会简单地使用邮箱帐号密码去登录第三方网站吗?
如何保护我们的邮箱秘密?
1.好习惯从现在开始:使用邮箱注册第三方网站服务时,绝对不使用和邮箱登录相同的密码。不管怎么样,邮箱密码应该是专用的,不要和其它密码混用。
2.注册一个不重要的专用于帐号注册的邮箱,确保不用这个邮箱收发重要信件,也不用来做与支付有关的任何业务。这个废物邮箱,只做一件事:注册不重要的服务。