今天,你的密码泄露了吗?
去年年底轰轰烈烈的密码泄露惨案似乎没有能引起国内网站的重视,绝大部分的网站仍然没有采取正确的措施来保护用户的账号。我在此不想考究各大网站的技术实力,只想从最简单的登陆功能来看一个网站是否对用户的账号负责。
上个月爆出了一个新闻“黑客伪造免费 WiFi 盗用户账号密码”。
从技术上来讲,黑客能通过伪造 WiFi 获取密码是因为密码在网络中是明文传输的。
那么,什么时候你的密码会在网络上传输呢?绝大部分是你在登陆网站的时候。假如网站没有采用加密的方式来实现登陆功能的话,你的密码就会在网络上明文传输,也就可以被黑客获取到。不幸的是,绝大部分国内的网站都是不采用加密登陆的,而绝大部分的国外网站都是加密登陆的。
下面按照不同的类别,列出了国内常见的大型网站的“账号安全”情况。“正面案例”就是采用了加密措施保护用户的账号和密码的网站,“反面案例”就是没有采用加密措施来保护用户的账号和密码的网站。
1. 门户/平台
正面:网易,搜狐,360
反面:新浪,凤凰网,腾讯
作为一个日流量过千万的大型网站,竟然连最基本的用户账号安全都没有考虑周全,真是太不负责任了。特别是腾讯,你对得起那么多QQ用户吗?对于这类网站的安全性缺失,我只能用无语来形容。
2. 邮箱
正面:QQ邮箱,网易邮箱,搜狐闪电邮,139邮箱,126免费邮
反面:新浪邮箱,21CN,Foxmail
邮箱常常作为其他网站的账号,一旦邮箱密码泄露,后果可想而知。还好大部分的邮箱都做到了加密传输用户名和密码。不过我还是建议使用国外的邮箱(例如Gmail)来保存重要信息。
3. 电商
正面:京东,淘宝,凡客,亚马逊,当当,苏宁,国美
反面:拍拍,梦芭莎,马萨马索,好乐买,银泰,麦考林,红孩子
这一类网站很有意思,基本上财大气粗的都做的挺好,而二线玩家都没有考虑到账号安全这一点。令人惊讶的是拍拍竟然是反面案例。到今天我才想明白原来腾讯的电商做不好是因为技术不过关。
4. 团购
正面:无
反面:美团,高朋,聚美优品,糯米网,拉手网
全军覆没,正如这个行业一样。
5. 社交网站/社区
正面:百度贴吧,豆瓣,网易微博
反面:人人网,开心网,新浪微博,腾讯微博,天涯,猫扑
我相信社交网站上保存了大量的隐私内容。账号不安全的话,不知道又要搞出多少个艳照门。而现实情况是,大部分社交网站都没有考虑到账号安全这一点。令人气愤的是新浪,似乎新浪旗下没有一个网站采用了加密传输,难道新浪的技术不懂什么叫做 HTTPS?
6. 生活服务
正面:携程
反面:大众点评,艺龙,芒果网,去哪儿,赶集网,搜房网,58同城
携程网一枝独秀!
7. IT技术
正面:OSChina
反面:CSDN,ITEye,cnblogs,51cto,InfoQ
这个结果让我有些惊讶。别的网站技术不过关也就算了,作为技术类网站起码做个表率嘛。虽然这类网站的信息不是很敏感,但是不用明文传输密码应该是一个基本常识。
8. 视频/娱乐
正面:起点中文网
反面:优酷,土豆网,爱奇艺,迅雷看看,PPS,4399小游戏,铁血网,晋江文学城
娱乐型网站就不指望了。起点中文网是用盛大通行证的登陆方式,所以是安全的。虽然晋江文学城也是盛大旗下网站,但是它还提供了非盛大通行证的登陆方式,是不安全的。
9. 银行/支付
正面:支付宝,财付通,快钱,银联在线,招商银行,工商银行
反面:无
我很庆幸这一类里面没有反面案例。
总体而言,国内的网站在账号安全方面做的还是非常不够,只有极少数的网站意识到了这个问题。作为用户,我们可以选择使用“安全”的网站,远离“不安全”的网站,倒逼整个行业改进。
希望国内的各大网站负责人不要光顾着做业务,也为用户账户的安全性考虑一下,共同营造一个安全的互联网环境。
文章出处:@雷锋网
《借助开源项目,学习软件开发》