了解密码安全术语:明文

Benjamin Scott

2019 年 3 月,一场重大事件让《欧盟一般数据保护条例》(GDPR) 的推进戛然而止。该事件正是 Facebook 安全及隐私副总裁的发声。在一份公开声明中,Pedro Canahuti 告知数十亿 Facebook、Instagram 以及 WhatsApp 用户:他们的数百万个密码仅以明文形式存储。也就是说,Facebook 的四万名员工中的任何一位都能搜索到这些密码。这是有史以来最大的安全漏洞,由此我们将深入探讨明文所潜藏的风险——首先,第一个问题就是:

什么是明文?

明文的意思就是普通的日常语言。如果您的密码以明文形式被存储,那么在有可能不安全的数据库中它将呈现可见状态。在密码学中,明文指的是加密之前的消息。

明文消息被加密后,字符将被打乱,让人难以辨识。被打乱的文本被称为“密文”。通常,密文与加密密钥配对,后者可让密钥持有者解锁被打乱的数据并将其转回可读信息(换言之,将其解密)。在谈到加密密码时,我们将这一整个过程称为“密码哈希”。

加密通常出于以下原因:

  • 秘密和机密通信 — 加密可保护信息免遭未经授权方的侵害,因此它是用于政府文件、商业机密和金融交易的理想之选。

  • 身份验证 — 一般用于网上银行和任何其他在线账号,包括 NordLocker 和 NordPass。

明文加密(或密文)本质上是一种数字保密语言——其原理可追溯到公元前 1900 年。从古典罗马时代的“凯撒密码”到古希腊的“密码棒”,加密文本一直是人类最喜欢的用于保护秘密的方式。然而,尽管加密的本质保持不变,但自从人类开始使用莎草纸和信鸽,加密也经历了许多变化。事实上,当前我们的密码存在着诸多问题——主要问题就是企业机构并没有正确地使用它。

那么,明文到底有什么问题?

尽管存在各种加密方法,但一些公司仍然以明文形式(一种可读格式)来存储客户的密码。这意味着任何拥有访问权限的人都能读取到您的所有高度敏感信息,比如您的密码、出生日期和借记卡号。如果您的密码以明文形式被存储,它就像被写在了记事本上,并被暴露于世界范围的公共等候室以供众人翻阅。我们就能想象出,当黑客轻易将此信息截获时,该有多么开心。

如何判断某个网站是否以明文形式存储密码

接下来,我们就来教您如何保护自己。从此,您再也无需担心自己的密码被轻易暴露,或存在盗用风险。

请务必小心以下两种危险情况:

  1. 在创建账号后,如果您收到一封包含自己用户名和密码的电子邮件,这可能意味着该网站使用的加密是可逆的。也就是说,该公司的部分员工知道如何对密码进行解密和读取。

  2. 如果您对某个网站有所怀疑,请点击“忘记密码”,看看他们是否通过电子邮件向您发送用户名和密码。不过,如果您收到的是重置密码链接,那么您的密码很有可能处于安全状态,且已经过哈希处理。

密码是否被安全存储?

由于没有明确的方法来判断您的密码是否被安全存储,以上提到的方法通常是用来获取这一信息的最佳选择。虽然您无法控制其他人对密码的操作;但您完全可以掌控自身对密码的操作。因此,我们想提醒您关于密码的两条黄金法则:

  1. 在您使用的每一个网站上使用不同的密码。

    如果您对多个网站使用相同的密码,而其中一个网站正好是以明文形式来存储密码,那么很快就会有人获取到您的银行卡信息或地址。与其在诸多网站上费尽心思调查信息泄露的原因,不如接受这一判定:您的密码并没有被哈希和加盐。

  2. 创建至少 6 个字符长的复杂随机密码。务必确保您的密码包含大/小写字母、特殊字符和星号,以保证最佳安全性。

    点击此处,立即生成强密码。这样操作之前,务必记住:想要记住随机密码,基本上是不可能的。因此,您需要一款优秀的密码管理器。还未使用密码管理器?不妨考虑 NordPass——该管理器在零知识流程中使用 XChaCha20 加密技术,不仅为您的密码提供防弹级保护,还能让您轻松掌控自己的密码信息。