关于你的密码安全和隐私安全

微信公众号

文章同步于微信公众号：苏雅图的雨

前言

在这个互联网时代，账号和密码成为了个人的重要资产。对于今年6月份超星学习通泄露1亿7273万条数据的事件，针对此事，学习通当天回应称，其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露。从这件事情，我慢慢觉得，保护个人隐私安全任重道远，绝不能依赖平台对数据保护的基本措施，而是从为自己的账户设置一个复杂的密码为起点。

0x01 你的密码安全

从2010年起，国内耳熟能详的大型平台都有过大规模的数据泄露，例如QQ、12306、淘宝、微博、网易邮箱等。对于数据泄露的问题，我觉得相对比较好的解决方法就是设置高强度的密码，为此，在前段时间我已经将平时经常使用的软件平台全部设置了统一的高强度密码。

什么是高强度的密码？

数字+大小写字母+符号的三种组合密码。

为什么要设置高强度的密码？

因为，在存储用户数据的数据库里，最常用的密码加密方式就是MD5加密，这是一种不可逆的摘要算法。

通俗易懂的来讲，这大概意味着，只要你的明文密码越复杂，破解的难度就越大。

-图片来源： https://www.avast.com/

但假如一些平台被黑客完整的入侵，那么意味着密码的加密算法是“公开”的，对于AES等需要密钥进行解密的对称加密算法，一旦密钥遭到泄露，设置高强度的密码也是没有任何意义的。虽然MD5加密是一种不可逆的算法，但并不意味着你的密码就没有被破解的风险。

在全球最大的MD5解密网站，只要你有密码对应的MD5值，一些常用的密码是可以直接进行解密的。

根据官网的说法，目前有约90万亿条MD5值对应的明文密码。

-著名MD5解密网站： https://www.cmd5.com/

我设置的密码举例： Ac+to*250abc （12位）

或者……

密码1： 1dSHallRed

解析：一荡山河满江红。

密码2： 1/2(S+S+X)andRDX

解析：半神半圣亦半仙，全儒全道是全贤。

密码3： FLZX3000cY4yhl9day

解析：飞流直下三千尺，疑似银河落九天。

这时候有人会问，全部设置同样的密码会不会一次泄露就导致其他账户沦陷？

我的回答是：会的。不过我这里所说的经常使用的软件平台是指微信、支付宝等，因为我信得过这些国内知名的平台，再者现在这些大厂对于数据安全的保护措施应该是令人满意的。 倘若连微信和支付宝这种大平台都出现大规模的数据泄露，那中国互联网安全的根基算是崩塌了吧。 对于一些你只是“玩玩”而已的平台，你的密码可以直接设置为Abc123，比如说某某学习软件、某某学校规定在这个平台注册账号然后观看视频完成任务……大言不惭的说，我就是这样的，统一密码只是为了方便记忆。

可能你会有某些疑问，然而......

早在几年前就有人举出设置密码的某种规范案例了：

例如你的微信密码可以设置为： Wechat123

你的淘宝密码可以设置为： Taobao123

你的百度密码可以设置为： Baidu123

这是为了避免密码不重复而也方便记忆。

这些涌现的种种问题，

在这里我举例一个我认为比较安全的密码保护措施，

那就是手机号验证码登录，即无密码。

举例：星巴克APP

你注册后，它并不会让你直接设置密码，

而是立即使用。可能星巴克的初衷是方便点餐，而不是过分收集你的个人信息。

0x01 你的密码安全

目前各种平台鱼龙混杂，虽工信部有规定不能过分收集个人信息，应遵循最小化和非必要不收集原则。但为了方便用户体验，各平台都会有注册登录的功能，主要是保存用户的一些个人偏好到云端，如音乐平台的收藏功能；但本地游客模式也不是不可以，只要你不卸载软件。

对于一些极其爱好在互联网冲浪的同学，可能喜欢频繁的去注册并使用一些小平台，而这些小平台的基本特征是第一次打开的界面就让你进行注册，而且你不注册就无法使用，如下图举例：

你可能会二话不说的直接输入自己的手机号码并获取验证码，可是在你输入手机号并点击获取验证码的那一瞬间，你的手机号和对应获取的验证码已经保存到该平台的数据库了，而后这些小平台就可以向你发送一些垃圾信息，骚扰短信等。

比如你注册的是某个学习平台，

这些平台就可能会给你推销一些付费课程。

再比如你注册的是某某野鸡商城

野鸡商城：指微信小程序某些名不见经传的商城

他们就可能给你推广一些类似于免费领取茶叶、

9块9包邮iPhone13 Pro Max的广告。

我的一个朋友的某次经历

某天，我朋友在某个专门薅羊毛的网站看到了一个福利，新用户0.10元购买一箱牛奶，还是包邮的，于是他就按着步骤去微信小程序注册这个平台，然后购买了一箱牛奶。我想，在这个过程中，他可能泄露了自己的名字、手机号以及收货地址。

-请问你说的这个朋友是你吗？好像是。

后来这个朋友告诉我，他留的名字和手机号都是假的，

唯独收货地址是真的，可惜是学校。

再后来他把牛奶喝完后，就把这个平台的账户注销了......

还有就是，这是我在淘宝的收货地址：

法律有规定网购一定要真实名字吗？

法律有规定收货地址一定是你家门牌号吗？

假如你去拿快递的时候你说你叫齐天大圣，

别人会给你一棍子吗？不会。

一般你们的快递到了，快递员可能是这样跟你说：

你好，请问是张三吗？ 你的快递到防空洞了，有时间过来领一下。

不过我的是这样的： 你好，你的快递到菜鸟驿站了， 有时间记得过来领一下。

往前一步来说，你注册成功后，这些平台可能会让你设置密码，

当你设置密码后再点击开始使用。

那么你面临的可能就是， 该平台至少获取了你的以下信息：

1.手机号码

2.你的密码

3.你的IP地址（你家的大概位置）

4.你的手机型号（菠萝手机Pate40）

而以上信息又可以进行以下基本推断：

手机号码 → 哪里人

你的密码 → 其他平台的密码

你的IP地址 → 你家住哪里

手机型号（诺基亚2610）→ 老人

手机型号（小米K50 Pro）→ 学生

-使用搜索引擎可以查询任意手机号码的归属地

这里需要提到的是这个IP地址，如果你连接的是WiFi网络，那么是可以获取你家的大概位置的，（有时候可以精确到10米范围）但如果是使用(流量)移动数据，这个位置是存在很大偏差的，因为移动数据是通过基站位置来定位的。

举个栗子，比如你家的实际位置在广东广州，

倘若使用移动数据的话你的位置可能是在广东深圳的某个地方。

另外，如果互联网冲浪者们既想要保护个人隐私却又想使用小平台的话也不是不可以，

在不使用该软件后只需找到“账号安全”页面申请注销账户即可，这时候平台大概率就会把你的所有信息从数据库中删除了。

其实早在几年前工信部就规定APP必须支持账户注销了，只是这些规定越来越严格，所以你会发现目前很多平台都支持账户注销。

对于一些可能只用几次的小平台，不用了就注销了吧。因为这些小平台很容易受到黑客攻击，一不小心你就成为受害者了。

-工信部就网友对注销账户的问题做出的答复

以上就是我对保护个人密码安全和隐私安全的一些建议，保护个人隐私安全任重道远，

你泄露的东西越少，以后你就会是最大的赢家，感谢你的阅读。