数据库密码泄露后官方的忠告

欢迎进入网络安全论坛，与300万技术人员互动交流 >>进入 数据库密码泄露后官方对企业以及网友的一些忠告： 对企业的忠告： 一、无论是自己设计编写还是使用商业账户管理系统，密码保存不得使用明码，普通的可逆加密也不可靠，最好使用完全不可逆的算法并只保

欢迎进入网络安全论坛，与300万技术人员互动交流 >>进入

    数据库密码泄露后官方对企业以及网友的一些忠告：

    对企业的忠告：

    一、无论是自己设计编写还是使用商业账户管理系统，密码保存不得使用明码，普通的可逆加密也不可靠，最好使用完全不可逆的算法并只保存结果。不可逆算法也可以杜绝内鬼作乱。MD5本来是一个不错的散列算法，但由于MD5库已经非常流行，对大多数常用密码实现解码已经非常容易。建议使用其他可选的算法，或者使用多次MD5或SHA1.

    二、对于用密码验证的服务器，应该尽量专机专用，卸载所有不需要的应用，封掉除验证和维护以外的所有网络端口，可将验证服务器放到内网并增加双防火墙。将黑客入侵的可能性降到最低。

    三、建议自己的员工，在公司的各种账户密码使用上，不得与私人账户密码相同。

    对网友的忠告：

    一、对需要密码的地方进行重要性分类，并使用不同的密码。不太重要的密码可以相对简单一些，便于输入，重要的密码应该复杂一些，最好字母、数字和符号混合。不太重要的密码修改频度低一些，重要的密码修改频度高一些。

    1、Email信箱的密码要求的安全性更高

    一般的网站注册时会要求输入一个Email邮箱作为重置密码的手段。这时候，Email邮箱的密码重要等级是高于网站注册时的密码的。因为黑客有了Email信箱密码，就可以通过重设密码的方式修改网站的密码。本次密码泄露事件中，有些人损失很大，甚至QQ、支付宝都丢了，原因就在于留的信箱的密码和网站的密码相同，黑客根据网站的密码尝试登陆信箱，成功登陆信箱之后就会看到个人私信，如果信箱中有很多重要信件没有及时删除，就会暴漏更多的信息给黑客。最终导致一系列的账号泄露的严重问题。

    2、与银行、证券、各种支付账户等与资金有直接关系的账户安全性更高

    3、工作和休闲用的账户密码重要性不一样。有些单位也规定了工作密码需要唯一性。这个值得赞赏。

    4、保存了过多个人信息的账户，如照片、私人日记等安全性更高；

    5、即时通讯类账户安全性更高；目前有相当多的钓鱼类的受骗事件大都源于QQ、MSN等通讯软件好友被盗后，然后向好友索取钱财和各种卡币道具等，最终导致好友被骗。

    二、经常修改密码是个好习惯。

    据说本次泄露的密码是2009年之前，2年的时间，如果养成一个及时修改密码的习惯，密码可能已经修改多次了。所以，本次密码泄露事件也证实了密码要及时修改的重要性。