那天刷技术群突然看到铺天盖地的"CSDN密码泄露"截图,手里的咖啡差点洒键盘上。赶紧打开自己万年不用的CSDN账号试了试,好家伙,用十年前的弱口令真登进去了,后脖颈子直发凉。
翻箱倒柜查老底
先把电脑里所有存密码的文档搜了个遍。在2014年的求职备份文件夹里翻出个Excel,打开就看到CSDN账号旁边赫然写着123456,当场气笑了。当年注册时贪方便设的弱密码,没想到成了今天的定时炸弹。
接着点开支付宝和微信的自动填充记录,发现三个电商平台居然还在用类似密码组合,手心立马冒汗。连滚带爬登上这些平台改密码,改完直接开了双重验证,感觉像给防盗门又加了三道锁。
全网撒网钓鱼
不死心又查了那个泄露文件包。先在虚拟机里解压(这玩意儿可不敢真机运行),拿自己邮箱搜出七条记录,最早能追溯到2009年发的技术提问贴。更吓人的是密码字段,有拼音首字母+生日组合的,有网站域名+666的,活脱脱当代网民密码使用大全。
- 发现1:六成密码长度不超过8位
- 发现2:用姓名缩写+出生年份的占四成
- 发现3:三成用户多个平台用同一密码
顺手拿同事废弃的旧密码试水,直接登上某小众技术论坛。对方账号登录时间停在2016年,估计本人都忘了还有这个号,看得人头皮发麻——黑客拿这些数据扫库可不就是拿钥匙开锁嘛
裂痕比想象中深
刚开始以为就是波旧数据泄露,越扒拉越不对劲。连续三个晚上测试发现:现在用这些密码还能登录某些政府机构的便民系统!虽然只能查社保缴费记录,但要是被有心人打包卖给诈骗团伙,后果不敢想。
更邪门的是某在线设计平台。用泄露密码登录后系统居然自动推荐"您可能认识的人",点进去全是CSDN同期注册用户。合着这俩平台当年搞过联合登陆,数据早串味儿了。
现在还在交的学费
前两天刷到个萌新程序员帖子,ID眼熟得很。拿泄露文档里的密码一试,哐当就进了人家Github仓库。小哥在README里大大咧咧写着服务器地址和测试账号,吓得我赶紧发匿名邮件提醒。这都十年过去了,怎么还有人把门禁卡和钥匙串挂在大门上?
现在每次注册新平台,看到"您设置的密码过于简单"的提示反而安心。要说这破事教会我什么?大概就是:互联网没有安全屋,只有不断加固的防盗窗。对了,上周刚教会爸妈用密码管理软件,二老现在记密码的本子终于能退休了。