最近有一句话在安全界广为流传：“网络空间只有两种人，一种人知道自己被黑了，另一种人不知道。”亲们到底属于哪种呢？

　　移动互联网时代，每一个人至少拥有几十个账户密码。一串串字符被赋予实名，看管我们最珍贵的东西，保护数据与信息，看护梦想与回忆，看管秘密与恐惧……密码成了最常用的安全认证方法。可问题是，密码是有可能被盗的！怎么去找到哪些偷不走的钥匙呢？大多数人都握有十多个网站的账号，选择“一把钥匙开一扇门”的策略，还是改用“万能钥匙”的策略呢？社区的网友们齐涮涮的坦言，一把钥匙开一扇门肯定会比较安全，万能钥匙却相反，方便记，但也有被全盘破解的危险。所以怎奈一个纠结啊！

　　有人对用户的密码做过统计，61% 的用户喜欢使用人名、地名、字典词汇和纯数字来设置他们的密码。甚至还有2.6%的用户直接把他们的用户名当做密码使用，那如何设定一个靠谱的密码呢？这个问题仁者见仁智者见智！暂且来晒一晒CU社区网友的高见吧！

　　Hellioncu：想一句好记的话，然后取首字母、谐音等，最后得到密码，最好包含大小写字母、数字、符号。

　　dengbao2001 ：作为一个专业人员，不少资料都说8位以上，数字大小写字母特殊符号混合起来最安全，问题是这样，可能比较难以记忆。通常这样的密码可能好记也难忘：11*11=12onE，我觉得这样的，记忆也不困难，而且很难猜到。

　　大邪神 ：我的是1、通用密码 + 网站特征，如CU就是shisandian123@IX。2、密码分级，不同级别的网站通用密码是不同的，如网银和支付宝是一个级别，但是和CU就不是一个级别，但是最多三级。

　　panyunlai支招了：前段时间上网发现一个好用的工具，lastpass，就是针对现在各种网站需要各种各样的密码，密码有需要各种大小写、*&%#字符等，提供一整套解决方案，我们只需要做的就是记住一个密码就行了，我用了一段时间，感觉还是比较安全的，lastpass可以自动填写表单密码，而且还可以支持google 身份验证器，即便是有黑客得到我的lastpass密码，也需要身份验证器来获取一个6位的动态密码才可以查看信息，不好的地方是服务器在国外，偶尔会出现无法访问的情况，希望国内能有个大公司来做类似的事情。

　　最近小编注意到，马云和库克刚刚入选了美国《时代》杂志年度人物的候选人名单，双方在正式对外公布了在移动支付领域的合作成果。苹果手机用户已经可以在钱包内使用指纹支付功能，这是此前支付宝向苹果申请接口开放后，利用苹果手机内的TouchID硬件实现的一种新支付方式。

　　看到这些神奇的支付手段后，小编开始想象未来了！也许到了明年，你卖萌对着手机喊了一句“亲爱的最帅了”，钱就可以到账；逛淘宝，宝贝看上10秒钟，付款就成功了，是不是很酷？再想像下2054年，你的行踪随时被掌握，不管你去哪里，地铁还是楼宇。因为每个人的虹膜信息都存储在电脑里，无数的虹膜扫描仪在盯着你。如果真是这么任性，人类还需要密码吗？未来，像人脸、声纹、指纹、掌纹、笔迹和键盘敲击这些识别技术是否有可能取代传统的密码形式呢？CU网友可是充分发挥了自己的想象力，着实让小编也惊呆了！

　　seesea2517 ：自然是透明管理了。去餐厅，如果是VIP老客户啥的直接会有电子声音传出“我认得您这张老脸，欢迎光临，请上座”；去银行，如果是VIP客户，直接开了VIP方向的门，一片红灯亮起指向VIP ROOM，普通客户嘛，哗啦，保安拉开防盗门一条缝，不好意思，17：00下班，请明天再来；回家呢，如果喜欢用掌纹识别只要直接按下门把手就自动开门了，脸长得俊的可以考虑用人脸识别，走到家门口就开门了，声线好的呢可以考虑唱个阿里八八和40大盗开门。笔迹都成密码啦？以后不可以随便卖签名了，上次一个fans随便奉承两句我就给签了个名，太危险了，哪天我家多了一群粉丝不用开门就能进屋的，我绝对会怀疑要了我签名的这群人的。

　　lsstarboy：指纹已被滥用，被破解成本会非常低，因为取得指纹相对是比较容易的，现在成本主要是制作指纹；笔迹和键盘敲击，其实跟密码性质差不多。人脸识别和声纹应该还有一定的潜力，操作简单，破解相对要难一些，但是声纹能区分录音吗？

　　chengwanhe：这些识别技术相对密码来说破解的难度是大了，可是也失去了灵活性，可以作为辅助形式进行验证。人脸、声纹、指纹、掌纹完全可以作为火车站机场等安全识别，支付方面觉得还是动态口令和笔迹组合使用更安全。要实现这些还希望有更加规范的标准出台，相应的法律法规也要同步。

　　针对目前云安全、移动安全一系列的泄密事件，网友们也都克制不住了！

　　lsstarboy吐槽：“泄密不仅仅是密码，而是相关的信息，**号、银行帐号、电话之类的，现在一切向钱看，这些信息随时可能泄露，在填这些信息的时候，一定要慎重。特别鄙视一下淘宝和新浪，以及QQ，现在没有不填电话根本没法使用，赤裸裸的要用户信息！这些都是身边的不定时炸弹。云相册和移动支付的密码泄露是很要命的，用证书要相对安全一些。但是主要跟操作习惯有关，弄个U盾成天挂在机器上，还不如密码来的安全呢。我还认为，目前密码泄露，绝对跟杀毒软件等流氓软件有关，给同事朋友修机器的时候，xp的内存占用能超过1G，win7机器4G内存都跑不动，我就不信没有个泄密的东东。”

　　i2235932666说出了担忧，“再想像下2054年，你的行踪随时被掌握，不管你去哪里，地铁还是楼宇。这真是太可怕了，这相当于把地球变成了一个巨型的监狱 。”

　　高级可持续性威胁攻击(APT)通常都是钓鱼邮件为入口，如果一个企业或某人被具备高端社会工程技术的黑客盯上，几乎是在劫难逃。 APT攻击通过哪些方式潜伏进企业？如何有效侦测APT攻击？

　　话说这些攻击都跟用户的使用习惯有关，lsstarboy表示，“一味追求方便，一味追求多功能，一味追求利益，稍不注意就会上钩。一般都是从普通员工入手，除非管理员不合格，因为普通员工的安全意识最薄弱。

　　在一个机器装了三个杀毒软件(360，QQ，金山)，再装了迅雷、2345、ppav，啥玩意音乐、QQ的一大堆、百度的卸载不掉的东西，你还指望这台机器安全吗？特别是现在有些管理员在服务器上也安装这些东西！有效防御攻击，我认为基本的三条：(1)尽量手动，所有的进程、端口都要了解它是干什么的，是由哪个程序开启的；(2)重要信息都要验证；(3)不要贪图便宜。”

　　我们希望针对这些潜在的攻击手段，未来会有越来越多的解决方案。