CSDN密码曝网络服务提供商不正确引导弊端

　　CSDN等网站的密码泄漏事件最近被网友戏称为《密码2012》，月光博客和卢松松博客都对网民的简单密码进行了分析，从中我们可以发现网民密码之简单和安全意识之欠缺是非常惊人的，但是同时我们应该注意到：密码的简单化正对应用户需求的简单化。

　　一：服务商的不正确引导致使用户密码的不安全化

　　并非网民真正的缺乏安全意识，举一个简单的例子，在三聚氰胺的毒害未被公布之前，我们对奶粉的需求并为因此而受到什么影响，所以我们不能简单的总结说“消费者不怕死”，同理，我们不能因为网民对网络安全知识的欠缺而推定网民缺乏安全意识。

　　朋友是一个股民，他办理相关账户时设置的密码是6位数字，当时问他为什么 不设置的复杂一些，可以有使用字母和数字相结合，他说：办理的时候，键盘只能输入数字，甚至于在我推荐他修改密码他都不愿意，说太复杂。这一现象非常普 遍，很多银行的网银是支持字母、数字和符号混合密码的，但是业务办理时用来设置密码的键盘却是纯数字的。我们都知道第一印象的重要性，银行等的不正确指 引，会让客户以为纯数字就足够安全了，进而推及到其他帐号的密码也极其简单。

　　服务商安全引导的不正确性，可以说和相关法律是有很大关系的，因为用户资金的损失，银行等相关机构基本是免责的，而且到底是谁的原因也不好界定。一旦形成了使用简单密码的习惯，想要更正是很困难的，除非经历一次损失，彻底心痛了才会知道要去重视网络安全。

　　二：安全软件的过度吹嘘导致弱密码泛滥

　　除了服务商的不正确指引，目下安全软件的过度吹嘘也是若密码泛滥的幕后推手。同时，这些软件本身并没有说让用户完全信任它们，但却一直标榜安全防 护，从技术上来讲，它们确实能够起到一定的防护作用，但绝对受不起用户对它们的信任，而且每一款安全软件都会有免责声明，纷纷表示不会因此对用户的任何损 失承担任何责任。

　　同样的，本次CSDN泄密事件，将这个问题的严重性进一步暴露无遗，试问CSDN号称“中国最大的开发者技术社区“，就是这样一家开发人员云集的网站，MD5加密可以说是安全又经济又简单，谁能想到堂堂CSDN却用的是明文密码呢?

　　虽然CSDN并没有说自己的加密有多么安全，但是作为开发人员，谁都会知道自己开发的系统要将密码加密处理，自然也就会将这份信任推及到CSDN身上，可是很不巧，他们没有这样做，如果不是这次密码被曝，恐怕CSDN的明文密码还要用上百年。

　　三：我们不能改变消费者的习惯，却可以开发更安全易用的程序

　　用户的习惯在上面两个大环境的影响下去改变是需要很长的时间的，这条路还很漫长，所以我们不能期待用户自己去修改密码达到相对的安全级别，而应该主动去加强对于这种弱密码类型的安全级别。

　　HAO123的成功和4399的成功，都证明了用户需求的简单化。我们的应用不需要多么复杂和绚丽，理想的状态应该是心随所想，点一次鼠标就可以完 成——当然，以目前的技术来讲还达不到这种极致，但是我们确确实实是可以减少用户“操心”的频率，就以密码的安全来举例子，我们是否可以在用户使用全数字 密码，并且密码低于8位的时候给予相关的提示和建议呢?这完全是可以做到的，而且在技术上也不是问题。

　　同时在提示用户的同时，我们还可以给出响应的方案：1.给出更强壮的密码建议;2.给出密码记忆方案。比如某人的注册名是：Somebody，密码 是123456，我们的程序可以给出相关建议：1.设置密码为Some123body456@;2.您的密码是用户名分拆加密码并且以邮箱分隔符@结尾。 同时在用户登录的前三次时间里辅助用户进行密码记忆回忆，然后三个月内进行同样的密码回忆提醒。

　　以上只是笔者的一种假设，具体的流程和方式可以通过与用户的交互交予用户体验工程师设计出更符合用户习惯的流程。有一点是可以肯定的，不能期待用户会掌握所有的知识，而应该假设用户是愚昧的，我们应该本着以简单安全的思路，去开发满足用户需求的应用。

　　同时也呼吁银行等机构，对用户形成正确的安全指引，为用户提供更全面的密码键盘，在用户第一次接触互联网密码的时候就让他们产生足够的重视，比起网银被盗的损失，花几分钟去记忆字母数字组合密码显然要好很多!