美国信息安全网站SecurityMagazine文章对我们可能面对的个人信息泄露等安全问题进行了分析，介绍了我们密码泄露的可能途径、各种等级的加密措施，以及我们可以采取的应对方法，对我们加强网络安全意识大有裨益。

　　为什么要担心密码安全

　　我们现在使用互联网做各种事情：网上银行、股票交易、在线购物、网上缴费、社交网络、网络游戏、在线娱乐以及网络科研等等。在过去的几年里，出现了大量的社交网站，如Facebook、Linkedin、Twitter、Instagram、Tumblr等等。我们在社交网站上分享各种各样的个人信息：音乐、图片、视频，不一而足，而其中大部分信息，是我们的个人隐私，是我们希望受到保护，不被泄露的部分。

　　不幸的是，上述的网站无一例外都被黑客“攻陷”过。黑客把窃取到的数以千计的用户帐户、密码以及其他个人信息公布到了网上。如果你的密码从来没有被窃取过，其实那也只是早晚的问题。

　　如今，我们有许许多多的网上帐户，相应的，我们需要记忆和存储为数众多的登录密码。如果你和大多数人一样，为了便于记忆，在所有网站上使用的都是相同或者相似的一组密码。那么基本上你的密码的安全程度等于其中安全性最弱的那个网站的安全程度。如果有黑客攻陷了那个网站，你的身份就可能被盗用。

　　窃取了你的个人信息的人可以用你的名字购买物品和服务。一个知道了你的帐户和密码的黑客几乎能用你的身份做到你能做的任何事情，包括劫持你的云存储帐户、进入你的银行帐户、获取你名下的信用卡、申请新的驾驶执照或护照，之后就能轻松地从你的银行帐户取钱了。

　　身份盗用案件的发生频率呈上升趋势，每天有数千人的身份遭到盗用。加上网站被黑的风险，还有我们每个人都可能偶尔将手机、平板放在不该放的地方、丢失或者被偷，这些都增加了我们的个人信息被盗的几率。根据调查，在过去的五年里因为信息丢失或被盗而受到影响的有10亿人。

　　暴露个人信息

　　公布的个人信息越详细，就越容易成为身份盗用的受害者。只要有网络连接，黑客可以在世界上的任何地方作案，而这些地方基本上是追踪不到的。黑客惯常的做法是花钱购买泄露的数据。你可能听说过历史上最大的一次数据泄露事件，是由一伙俄罗斯黑客所为，代号CyberVor。该黑客团伙从42万个网站窃取了12亿组用户名和密码，以及5.4亿个电子邮件地址。

　　被他们窃取了用户信息的网站很可能包括你平时使用的网站。CyberVor很可能会按照单个帐户为计费单位将窃取到的信息卖给有不法企图的黑客。这些不法黑客每年给个人和公司造成数十亿美元的损失。所以，你或许应该想想如何保护自己了。

　　黑客的手段

　　黑客获取庞大个人信息的一种方法是通过使用结构化查询语言(SQL)，这是一种主流数据库都在使用的语言。进行大规模的密码盗取一般是利用系统的安全漏洞，通过找回密码或者暴力破解的方式实现的。当类似CyberVor的黑客团伙把盗取的信息出售时才是噩梦的开始。

　　黑客购买到你的邮箱密码或者社交网络密码后，就可以通过找回密码的方式将你的别的网站的密码重置，或者利用网站之间共用登录信息的特性获取你在其他网站的账户信息。一旦黑客重置了你的密码，他就获得了你的帐户的最高权限。

　　你的密码包含了大小写字母、数字和特殊字符，只有你自己才知道。这样的密码是否真的安全呢？许多人为了方便常常让浏览器记住密码，殊不知这为黑客非法入侵你的电脑、帐户以及网站提供了很大便利。

　　那么黑客破解你的密码有多容易呢？计算机计算能力的飞速提升使得密码破译的速度突飞猛进。但是，暴力破解对于复杂的密码还是需要相当长的时间。黑客盗取密码的另一种方法是靠猜，包括键盘记录程序、钓鱼软件、翻垃圾箱、偷看等手段，当然还包括直接从CyberVor这样的团伙购买密码。当然，最经济的方法就是使用网上现成的密码破解软件。

　　防范措施

　　针对黑客的种种手段，我们最好能够为不同的网站设置不同的复杂密码，并且定期更新。

　　微软的技术安全小组介绍说：“创建难以破解的密码的途径有很多，其中之一就是用字符或数字替换密码中的字母。本着好记的原则，可以用外形相似的数字或字符替换单词中的某些字母。”另外，密码越长，破解密码需要的时间也越长。

　　一种强度更强的加密方式是二元认证法，将密码拆分存放在两个设备的系统中，这就意味着黑客需要破解两次密码。在此基础上更强的是多元认证法，这种方法多为软件供应商、电信机构、政府及金融机构所采用。更高级的加密手段是生物特征识别技术，常见的有指纹识别和面部特征识别。

　　如果你真的关心自己的密码，你应该按照上面提供的建议重新审视自己的密码系统，或者使用生物特征识别技术或多元认证技术为你的公司或者个人信息保驾护航。