也谈谈网上注册用户的密码设置问题 博客分类： 个人随笔Software Architecture|OOOS  

看到首页上的" 关于CSDN用户数据库泄露事件的声明", 不禁嘘吁。这么多用户的敏感信息都被泄露，实在是太危险了。

如果你习惯于使用同一个用户名，同一个注册邮箱，同一个密码，那将是最大的受害者。

网上用户，可以简单的分为几类：
1. 邮箱.
　
2. 涉及金钱交易的
   如网上银行

3. 即时通讯聊天类的，如QQ

4. 一般论坛性质的

这几类用户的密码最好严格进行区分，使用不同的密码。对于3，现在已经做的比较安全了。只要设置的合理，即算密码丢掉了，通过密码保护也能找回来。除非根本没有设置密码保护，或者忘掉了密保的答案。

对于1，邮箱密码，一定要注意保管。很多网站的注册依赖于你的邮箱来激活。所以1跟4必须采取完全不同的密码和密码策略。

对于2，那是最重要的，密码安全级别一定要设为最高。现在的网银，大多推荐使用U盾或者密码卡。

对于4，你完全可以根据重要程序及网站本身的安全程序，设置自己的密码策略。我个人经验来看，大都设置为中等程度的安全密码即可，即有大小写有数字，但要确保没有字典词等。对于一些很一般的论坛，密码设置成一样，也不会出什么大问题。但必须确保它跟1,2,3中的密码完全不同。否则一个泄露，另一个就同时泄露了。

如果自己还不确信是否已经泄露：在下边的网址　http://t.easyicon.cn/
可以简单查询一下。
其实，不光是CSDN，还有很多网站的后台数据库都被部分的泄露出来了。看来商业利益是驱动的主因。

广大开发人员虽然自信对网络安全有相当程度的了解，可是也正因为平时过于相信所使用的系统（泛指所有的信息系统），反而成了最大的受害者。

现在，很多大型的软件或者互联网企业，都有自己的入侵检测系统，甚至花钱购买一套检测系统来验证自己的软件或后台系统是否达到最基本的安全等级。看来还是有必要的。

关于安全，看看这个：
http://news.csdn.net/a/20111219/309320.html
中的一人：
罗伯特·莫里斯（Robert Morris）（1932年7月25日-2011年6月26日）
密码学家、计算机科学家。莫里斯被普遍认为是计算机安全的先驱人物。1960-1986年间，莫里斯是贝尔实验室的研究人员，致力于Multics及此后UNIX系统的研发。

莫里斯对于早期UNIX的贡献包括math库，编程语言bc，“crypt”程序，以及用于用户验证的密码加密*。

他有一句名言：“确保计算机安全的三条黄金定律是：不要计算机，不开机，不用计算机”。