这几天中国几个互联网公司丢失用户资料,成为网上重大新闻。成名网络公司犯这类低级错误,确实有些出人意料。于是各种猜测也纷纷出炉,许多人猜这些泄漏事件的发生,是有人在曲线阻挠政府实施网络实名制。虽然难以置信,但是如果政府确实操纵、迫使这些服务商明文存储客户密码,那这问题的严重性无法估计。一般民众可能许多人对政府的可信度早已心如明镜,但对于商业机构可能还心存侥幸。试想,如果银行也有你的密码明文,那你除了求上苍保佑,还能有什么办法呢?明文存储密码,密码被盗用的可能性一下子就增加了许多,电脑行业里有一句真理,叫做:可能发生的事就一定会发生。我们个人能做的是减少坏事发生的机率,而明文存储密码则完全剥夺了客户个人做这种努力的权力。
之前曾经也写过一篇关于电子邮件安全的文字,也说到密码。个人做这些努力,当然前提是没有人能在你的密码上做小动作。每个人都可以有自己喜欢的方法来保存密码,但是月光博客个人密码安全策略我还是觉得过于复杂,Jason Ng 更指出其中的问题。然而,目前保存密码的一些软件也有其他一些问题,最明显的一个是现在许多网站通过问一些私人问题,比如你小学最要好的好朋友叫什么,之类的,来提供一个密码重置的途径。这些问题,你当然没有必要如实回答。然而,编造的答案则容易忘记。
目前来说,我所采用的办法算是中间道路,而且比较笨拙。办法是用 GnuPG (Gnu Privacy Guard) 生成一对密匙,用他来对所有的密码和其他私人信息加密。而密匙本身用一个很长、很复杂的密码加密,这个密码不在任何其他场所使用。加密之后的个人信息可以保存到网盘(如 Dropbox)之类的云存储,甚至加密的密匙都可以这样保存。这个办法当然无法让密码自动在各种设备之间同步,尤其是手机,但是好处是相对比较简单,每个环节自己都可以控制。
No comments:
Post a Comment