在LinkedIn、Zappos、Dreamhost和其他最近被黑客入侵的著名网站之间，你最近可能一直在考虑自己的在线安全问题。但是，当这些网站中的一个被黑客入侵时，这意味着什么？你如何保护自己？以下是你的密码是如何存储在互联网上的，以及当你使用的网站被破坏时对你意味着什么。

一个站点有很多方法可以存储您的密码，有些方法比其他方法更安全。下面是最流行方法的简要介绍，以及它们对数据安全的意义。

方法一：纯文本密码

工作原理：网站存储密码的最简单方式是纯文本。这意味着在他们服务器的某个地方，存在一个数据库，其中以可读的形式包含您的用户名和密码（也就是说，如果您的密码是testing123，它将作为testing123存储在数据库中）。当您在站点上输入凭据时，它将根据数据库检查凭据是否匹配。从安全性的角度来说，这是最糟糕的方法，而且大多数著名的网站都不以明文形式存储密码。如果有人入侵这个数据库，每个人的密码都会立即被泄露。

我的强密码重要吗？不可能。不管你的密码有多长或多强，如果它是以明文形式存储的，并且网站遭到黑客攻击，你的密码很容易被任何人访问，不需要任何工作。它仍然是重要的方面隐藏你的密码，比如说，你的朋友，或其他人很容易猜到它，但它不会有任何区别，如果该网站被黑客攻击。

方法二：基本密码加密

工作原理：为了给你的密码增加比纯文本提供更多的保护，大多数网站在将密码存储到服务器之前都会对密码进行加密。加密，对于那些不知道的人，使用一个特殊的密钥把你的密码变成一个随机的文本字符串。如果一个黑客得到了这个随机的文本字符串，他们将无法登录到你的帐户，除非他们也有密钥，然后他们可以用它来解密。

问题是，密钥通常存储在与密码完全相同的服务器上，因此如果服务器遭到黑客攻击，黑客不必做太多工作来解密所有密码，这意味着这种方法仍然非常不安全。

我的强密码重要吗？不。因为用密钥解密密码数据库很容易，所以你的强密码在这里也不会有什么区别。再次：这是在网站被黑客攻击方面；如果你有一个爱管闲事的朋友或家人翻阅你的东西，一个强大的密码可以帮助他们从猜测它。

方法三：散列密码

工作原理：Hashed与加密类似，它将您的密码转换为一长串字母和数字来隐藏。然而，与加密不同的是，散列是单向的：如果你有散列，你就不能反向运行算法来获得原始密码。这意味着黑客必须获得哈希值，然后尝试多种不同的密码组合，看看哪些密码有效。

然而，这种方法也有缺点。虽然黑客无法将散列解码回原始密码，但他们可以尝试许多不同的密码，直到其中一个密码与他们拥有的散列匹配。计算机可以很快做到这一点，借助于彩虹表（rainbow tables），它本质上是一个数万亿个不同哈希值及其匹配密码的列表，它们只需查找哈希值，看看是否已经被发现。尝试在Google中输入e38ad214943daad64c102faec29de4afe9da3d。您很快就会发现它是“password1”的SHA-1散列。有关彩虹表如何工作的更多信息，请查看本文，方法是编写专家jeffatwood。

我的强密码重要吗？在这种情况下，是的。彩虹表由已经过哈希测试的密码组成，这意味着真正脆弱的密码将很快被破解。然而，他们最大的弱点不是复杂性，而是篇幅。你最好使用一个很长的密码（比如XKCD著名的“正确的马电池钉”）而不是一个短而复杂的密码（比如kj$fsDl）。

方法四：用少许盐对密码进行散列

工作原理：对散列进行加密意味着在对密码进行哈希加密之前，在密码的开头或结尾添加一个名为“salt”的随机字符串。它对每个密码使用不同的salt，即使salt存储在相同的服务器上，也很难在彩虹表中找到那些salt哈希，因为每个salt哈希都是长的、复杂的和唯一的。LinkedIn以不使用盐类哈希而闻名，这使得他们在最近的黑客攻击后受到了很多审查如果他们使用盐类，他们的用户会更安全。

我的强密码重要吗？当然！然而，不幸的是，我们已经到了这样一个地步：计算机的速度如此之快，以至于许多人甚至能够对咸哈希进行暴力破解。它可能需要很长的时间当然比使用彩虹表更长，但它仍然是可行的。这意味着密码的强度仍然很重要，因为密码越长越复杂，破解暴力攻击所需的时间就越长。

方法五：慢散列

工作原理：目前，大多数安全专家都认为速度较慢的散列是存储密码的最佳选择。像MD5、SHA-1和SHA-256这样的散列函数速度相对较快：如果键入密码，它将相当快地返回结果。在暴力攻击中，时间是最重要的因素。通过使用像bcrypt算法这样的较慢的散列，暴力攻击需要花费更多的时间，因为每个密码都需要更多的时间来计算。

我的强密码重要吗？再次强调，由于强密码更难使用暴力，因此强密码在这里绝对可以帮助您。如果你的密码很强，可能需要很长很长的时间才能发现一个缓慢的散列。

如何避免密码泄露？

那么这一切对你意味着什么呢？以下是您应该从这些信息中获得的信息：

1. 不要使用安全性差的服务。虽然您无法控制公司如何存储您的密码，但您可以控制您注册的服务。你不应该注册使用纯文本或加密来存储密码的服务，因为它们更容易被泄露。根据web服务CloudFare的说法，找到他们使用什么的一个好方法是单击“丢失密码”链接。如果它在电子邮件中发送你的密码，这意味着他们可以访问密码本身，它不是散列的，可能是使用一种不太安全的方法存储的。当然，你可以发邮件问他们，或者查看他们的常见问题，看看他们是否自愿提供这些信息。
2. 使用强密码：正如我们上面所展示的，你的密码越强，别人破解和快速使用它的可能性就越小。长度比复杂性更重要。记住：任何密码都是可以破解的，你只需要尽可能长的时间。这让我想到下一点：
3. 总是在密码被破解后更改密码：即使你的密码很强，但这并不意味着破解密码是无懈可击的，只是意味着破解密码可能需要非常、非常长的时间。那些密码薄弱的人可能在意识到泄露发生时已经让自己的帐户遭到了破坏，但是如果你的密码需要几天才能破解，你就有时间修改密码，在他们发现之前让你的旧密码失效。
4. 为每个站点使用不同的密码：如果你为每个帐户使用不同的密码，那么即使你的一个在线帐户被泄露，这些帐户也会保持安全。如果你对每个网站都使用相同的密码，那么一个网站的漏洞可能会给你带来全世界的麻烦。
5. 如果您不确定站点的安全性，请使用OAuth：我们以前讨论过OAuth，它允许您使用Google、Facebook或Twitter帐户登录。如果你不知道一个网站有多安全，而且它为你提供了使用OAuth的选项，那就去试试吧，谷歌、Facebook和Twitter可能会有更好的安全性，如果网站被攻破，你可以撤销它对你的谷歌、Facebook或Twitter帐户的访问权。

标题图片从帕尔苏尔混音。