你的密码安全吗？“泄密门”催火查询网站

　　随着天涯、腾讯QQ、新浪微博等互联网公司先后卷入“泄密门”，无数网民不得不战战兢兢地问：“我的账号安全么？”

　　网友们的集体忧虑，让十余家“密码外泄”查询网站一夜大热、流量暴涨，第三方查询工具甚至成了网民“居家旅行必备佳品”。

　　提供泄露密码查询服务的网站，既有金山网络这样的安全企业，也有普通的个人开发者。个人开发者宓俊推出的检测网站amihacked.mijun.net，访问量在几天时间里就由几万激增至几百万；金山网络推出的“密码泄露快速查询”网站总查询次数已超千万，而随着越来越多网站卷入“泄密门”，用户查询次数还在不断上升。

　　即使不看这些数据，也能感受到检测需求的旺盛。不少提供密码泄露查询的网站，需要反复提交多次请求才能返回结果。记者在amihacked.mijun.net上试图对自己的账户进行检测，但点击了多次都显示“服务器繁忙”。

　　在此次泄密事件中，很少有用户能逃过一劫，尤其是老网民。面对网民们汹涌的查询“热情”，不少外泄密码查询网站也以调侃的方式奉劝用户放弃侥幸心理，直接修改密码。

　　一家查询网站首页甚至在醒目处写着：“按照目前这个阵仗，你还是别查询了，你只要在国内注册过，你的密码基本都被泄露了，直接改密码吧。即使在这没有查到，也不意味着你的账号安全，因为我们的数据库并不一定是最全的。”

　　明文密码并非“祸首”

　　几百万、上千万的用户账号和密码，究竟是如何从网站“流出”的？

　　已承认用户数据被盗的CSDN和天涯社区在对外说明中，除将矛头指向攻击网站的黑客外，都同时提及了“明文密码”。CSDN和天涯社区在声明中称，因网站早期使用过明文密码，所以导致用户信息被盗。

　　“明文密码就是不加密的密码。”360网络安全专家石晓虹说，最不安全的数据保存方式就是直接存储明文，一旦数据库泄露，黑客就可直接掌握所有的账号和密码信息，肆无忌惮地盗取用户权益。这次“泄密门”之所以会涉及如此众多用户资料，密码直接存储明文只是诱因之一，更根本的原因是部分网站对于用户账号“重吸引轻保护”的态度。

　　随着中国互联网近年来快速发展，争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下，巨大的用户量是网站吸引更多风投的资本。因此，网站纷纷简化注册过程，以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同，很多网站在用户数据安全保护上的投入却是“锱铢必较”。

　　“小偷能偷到东西，不是因为我们把钱包放在了桌子上，而是因为家里的防盗门没锁。”一位业内人士的话一针见血地指出，“泄密门”并不是因为用户密码的保存方式，而是因为网站在信息安全保护上“偷工减料”。

　　“只有在国内排行前100的网站，才有专门的安全团队，剩下的网站几乎都是‘不设防’。”这位人士透露，互联网公司建立自己的安全运维团队资金投入量很大，比如大型B2C购物网站每年的安全投入可达千万元级别，普通网站要想免于黑客攻击每年也要付出几十万元的成本。但是目前，许多小公司的安全投入最多几十万元，有的只有几万元，甚至有的互联网公司连基本的公司防火墙都没有设置，黑客进出自由。

　　一些互联网企业不重视用户数据，是觉得安全对一个企业来说是要“花钱但不产生收入”的事情，即使用户数据被盗，对企业来说也损失不大。因此，在安全防范方面投入非常少，即使在出事之后也不重视，而是想办法遮掩。