迄今为止，越来越多的公司被卷入数据泄密事件当中，其中最让人担忧的就是用户的账户密码信息，一旦账户密码信息被获取，攻击者就可以借用账户密码去登录用户的业务系统，获取相应的信息。譬如登录进游戏系统窃取装备，登录进微博发广告或者欺诈信息，登录进购物网站访问用户手机、住址、订单、购物记录等信息等等，以获取更多的利益。利益永远是攻击者追逐的最终目标。

为何这么不安全？

其实很早我们和一些互联网公司就发现一个奇怪的现象，传统的暴力破解密码等较为成熟的攻击手段发生了改变。另外一种攻击手法越来越多——直接拿一批账号密码去业务系统上进行尝试，这一动作变得相当普遍。尽管账号密码不一定是正确的，但是可以明显看出是用户的正常密码，而且一次失败就不再进行尝试，其实这个时候大量的账号密码数据泄露已经发生了，业界有一个名词来指代这种行为，叫“撞库”。

如何变得安全

作为一个互联网厂商，如果想让自己变得安全，有两种方式。

第一种是让自己在黑客眼里变得没有价值，如果攻击成本和收益不成比例，相信黑客一定不会攻击你的。这里对于密码而言，最好的方式就是将你的密码加密，并且使得逆向不可能，譬如常见的一用户一加密，每个用户生成单独的足够复杂的盐，然后用盐对密码进行加密，这样会使得你的密码库对于黑客攻击的吸引会较小，一些公司可以通过这种方式减免风险。

第二种方式自然就是让自己足够的安全，这一点很困难。但是对于某些公司来说必须这么做，因为也许不是你的用户密码信息重要，你的业务已经决定了你的敏感性，譬如游戏公司、微博、社区、购物以及邮箱等等，这些业务注定是黑客的目标，这个时候只能提升自身的安全性以避免遭受攻击时受到损失。

但是这次的事件一样说明了一个问题，躺着中枪的事现在太多了。互联网这么大，各大公司的用户重合度非常高，很可能一家的数据库被入侵了，就发生了前面到别家撞库的现象。所以即使暂时没有被直接披露数据库泄露的厂商和企业，在做好自身安全建设的同时，也建议及时做出反应。对已经泄露的用户进行及时提醒，修改账号、密码。对于业务系统的登录日志要定期审计，重点包括单IP多账号尝试登录的情况。如果有很明显是可能躺着中枪的现象，要及时作出响应。

如果要做到自身的足够安全，这是一项艰巨和艰难的工作。安全本身的范畴就较广，但绝对不能是在出了事故之后找一些人来临时解决。最好的安全应该是自始至终就有人为安全负责，将安全落实到公司的流程制度规范以及基础技术架构里去，形成完善的安全体系，并且持续更新迭代。如果以前没有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公司或者外部顾问。但是记住，不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链，当然作为一个与外部安全社区沟通的平台，乌云也是值得关注的。

(责任编辑：)