如何辨別密碼安全糟糕的網站 分類： 軟件插件學習 2015-05-08 11:32 54人閱讀 評論(0) 收藏

來源：http://blog.sina.com.cn/s/blog_77e8d1350100wfvz.html

話說網絡是一個很不安全的地方……什麼？你才知道啊！地球很危險，你仍是趕忙回火星吧！

若是你仍是下定決心呆在地球，同時又但願知道知道如何鑑別那些網站在密碼保管問題上很兒戲，不具有專業知識，又或者具備潛在的盜取你的密碼的嫌疑，那麼請用下面的檢查表來看看吧。若是最後總分在：

• 12分及以上，最好不要在碰這樣的站點，或者就算你經受不住誘惑非要使用，請永遠不要在這樣的網站上輸入和你用在銀行等地方相同的密碼；
• 6分及以上，此地很危險，建議 不要在這樣的網站上輸入和你用在銀行等地方相同的密碼，並向該站點的客服提出抗議；
• 3分及以上，此地有潛在的危險，一不當心不是泄露你的我的敏感信息，而這些敏感信息要麼可能會使得黑客竊取你帳戶的控制權變得更容易，要麼可能會使得黑客或者別有用心的內部員工據此進行詐騙；
• 2分及以上，須要注意些，這樣的網站有可能具備嚴重漏洞，也可能沒有，很差說。同時，有可能在該網站的帳號或者我的隱私信息已經被盜的狀況下，你還一無所知。

我相信你能夠很輕易地發現有很多網站的分數在24分甚至48分以上，在交通安全上來講是終身禁駕的情況，對於食品安全來講，那就是恭喜你，你終於知道大多數餐館都用地溝油了。

請注意：這個檢查表只能檢查出顯然存在問題的地方。即使不存在這個列表裏面的問題，也不能證實這個網站就是安全的，更不能證實這個網站沒有用明文保存密碼！

如下問題，每個回答「是」的問題得12分：

• 該網站的找回密碼功能，真的能夠將你的原有密碼經過電子郵件發送給你；
• 該網站的找回密碼功能，不是經過電子郵件提供重置方式，而是根據安全提示問題回答出正確答案，便可當即修改密碼，或者顯示新的密碼；
• 該網站在註冊過程當中，向你詢問各類社交工具如MSN、QQ、電子郵箱的密碼，生成是能夠邀請你的朋友；
• 該網站對密碼可輸入字符類型限制爲「英文（大小寫）和數字」，或者「英文（大小寫）」，或者「數字」，同時沒有其餘附加驗證手段如U-Key、證書或者登陸時必須輸入發送到手機上的驗證碼等；
• 該網站對密碼可輸入字符數量限制爲10個之內 ，同時沒有其餘附加驗證手段如U-Key、證書或者登陸時必須輸入發送到手機上的驗證碼等；
• 該網站在輸入密碼的時候是明文顯示的；
• 輸入一個錯誤的密碼，也能登陸；（典型騙取你帳號密碼的釣魚網站！）
• 輸入一個不存在的帳號，也能登陸； （典型騙取你帳號密碼的釣魚網站！）
• 在除了你以外的任何狀況下，可以看到你的密碼安全提示問題，甚至是答案；
• 當你電話尋求該網站客服幫助的時候，會向你詢問你的密碼是什麼；
• 當你電話尋求該網沾客服幫助的時候，會向你詢問一些其餘敏感信息例如您的銀行帳號、密碼，親人的姓名和聯繫方式等，除非該公司是相似銀行等極具可信度的（即使如此，也須要很是謹慎考慮）；
• 客服發送給你的問題處理結論中，所包含的處理過程信息或者其它地方，有你的帳號明文密碼信息；
• 該網站曾經出現過極大的安全事件，例如密碼被爆庫，而且沒有公開說明其安全處理方式；
• 該網站曾經被警告過出現安全漏洞，但一直沒有公開回應並修補；
• 該網站的高層曾經發表過不謹慎的安全言論，例如「咱們的站點絕對安全」之類；
• 該網站的高層曾經發表過不專業的安全言論，例如「咱們網站的密碼加密算法是本身開發的，不會存在問題」之類；

如下問題，每個回答「是」的問題得6分：

• 在該網站註冊以後，會經過發送電子郵件告知，或者在屏幕上顯示密碼明文是什麼，好比123456；
• 在該網站註冊以後，會發送電子郵件告訴你安全提示問題和答案是什麼，好比「我家的貓叫什麼名字？答案：傻缺」；
• 在該網站使用找回密碼功能，或者修改了密碼以後，會經過發送電子郵件告知，或者在屏幕上顯示密碼明文是什麼，好比123456；
• 在該網站使用找回密碼功能，或者修改了安全提示問題以後，會發送電子郵件告訴你安全提示問題和答案是什麼，好比「我家的貓叫什麼名字？答案：傻缺」；
• 該網站曾經出現過極大的安全事件，例如密碼被爆庫，其隨後的漏洞處理方法被具有基本安全知識的專業人士所質疑；
• 該網站曾經被警告過出現安全漏洞，其公開回應聲稱不存在這樣的問題，或者其修補漏洞的方法被具有基本安全知識的專業人士所質疑；
• 關鍵的安全操做，例如修改密碼，修改安全提示問題及答案，以及確認支付等，沒有除了必須已登陸以外的其餘安全驗證過程，例如再輸入一遍密碼，或者發送一條包含驗證碼的信息到你的手機，必須輸入正確才能繼續進行等；
• 故意屢次輸入錯誤的密碼，既不會鎖定賬戶一段時間不讓登陸，也不會出現驗證碼輸入框；
• 你能夠收到一些包含有連接的郵件，點擊這些連接會彈出瀏覽器，而且在沒有任何輸入，或者使用U-Key、證書的狀況下，以你的身份登陸站點；

如下問題，每個回答「是」的問題得3分：

• 匿名用戶能夠得知你的找回密碼郵箱地址是多少，好比說，聯繫郵箱實際上就是找回密碼郵箱，該網站有隱私選項能夠選擇「匿名用戶/會員/你的好友/你的私密好友/或者沒有任何人」能夠查看您的聯繫郵箱，這個問題的答案仍然應該回答「是」；
• 找回密碼的方法不是讓你從新輸入一個新的密碼，而是自動生成一個新密碼在屏幕上顯示給你；
• 你在該網站填寫過很是敏感的我的信息，例如身份證號碼、護照號碼、電話號碼，除非這是一個具備可信度的企業所屬網站，例如銀行、該行業內前10的網站，而且這是業務所必需的，例如銀行須要身份證號碼證實你的身份，或者電子商務、快遞公司須要你的聯繫方式以便貨物順利送達；
• 關鍵的安全操做，例如修改密碼，修改安全提示問題及答案，以及確認支付等，有除了必須已登陸以外的其餘安全驗證過程，例如再輸入一遍密碼，或者發送一條包含驗證碼的信息到你的手機，必須輸入正確才能繼續進行等；可是可讓用戶選擇是否跳過這樣的步驟，例如存在其餘網銀支付方式，既不須要U-Key，也不須要短信驗證等；
• 你註冊的時候，或者修改密碼的時候，該站點不會驗證你密碼的強度是否足夠強；
• 登陸或者關鍵操做的時候，網址開頭不是https://，而是http://；
• 登陸或者關鍵操做的時候，儘管網址開頭是https://，但瀏覽器提示警告，如「證書無效」，或者「該頁面存在不安全內容」等；

如下問題，每個回答「是」的問題得2分：

• 出現驗證碼的地方能夠看見這個驗證碼只是一個簡單的英文數字，字體正規沒有扭曲（哪怕背景有噪點）；
• 該站點沒法提供你的登陸日誌，或者登陸日誌不能提供登陸時間和IP；
• 故意的屢次輸入錯誤密碼以後，你的找回密碼郵箱沒有受到任何風險提示郵件；

如下問題，每個回答「是」的問題得1分：

• ……無關痛癢的我懶得想

若是你要考察的站點能夠操做你的財產，那麼還必須附加檢測下面的表。

如下問題，每個回答「是」的問題得12分：

• 登陸時沒有任何附加驗證手段的選擇，例如U-Key，密碼錶，證書，輸入發送到你手機上的驗證碼，打電話到你填寫的固定電話號碼與你覈實身份（用圖片在網頁顯示的驗證碼及其驗證碼輸入框不在此列）；若是有這樣的登陸選項，但也有可跳過該步驟的選項，此問題答案爲「否」；
• 該公司給你發一個n乘n的密碼錶，例如登陸時要輸入P列第3行的密碼，而且此密碼錶的每個單元中的密碼可使用超過1次；
• 屢次錯誤輸入密碼不會鎖住你的帳戶一段時間（最好先諮詢，確認有你就能夠相信這個答案爲「否」了。若是沒法找到諮詢方式，你最好嘗試一下）；
• 從登陸開始（包含），以後的全部操做都不是在https://開頭的網址下面進行的，也不是一個自有的桌面應用客戶端；
• 在你第一次申請帳號的時候，該公司會爲你的資金操做帳號生成一個初始密碼（而不是讓你輸入一個），同時在沒有任何身份驗證並激活的措施下（例如要求輸入您的身份證號碼，以及電話號碼等），就可使用該密碼進行任何資金相關的操做；
• 被瀏覽器警告證書無效；
• 輸入密碼的地方你能夠經過粘貼的方式將密碼粘貼進去；
• 輸入密碼的地方你能夠按左右鍵來改變光標當前位置，並刪改中間的某些字符，最後還能成功登陸；
• 當天累計發生金額爲1000元的操做時，沒有任何的郵件或短信通知；
• 最近6個月內存在能夠成功釣魚的案例；（說明該企業確實存在讓用戶感受很天然的，但很不安全的登陸方式，而且只須要這些基本的登陸信息如密碼，就能夠進行資金上的操做）

如下問題，每個回答「是」的問題得6分：

• 登陸時有任意附加驗證手段，可是也能夠選擇繞過去，而且在繞過去的登陸方式下，沒法限制其能夠操做的範圍；
• 你沒法選擇禁止不帶附加驗證手段的登陸（若是能夠這麼登陸的話）；
• 若是使用瀏覽器，從登陸開始（包含），以後的任意操做曾經出現過「該頁面包含不安全內容」之類的提示；
• 你沒法限制是否容許網上交易、轉帳、匯款等操做，或者能夠設置是否容許，但沒有辦法設置限額；
• 你使用的是「文件證書」，超過1年以上但卻歷來沒有被要求更新過；
• 你使用的是「密碼錶」，但該密碼錶沒有過時的時候；

如下問題，每個回答「是」的問題得3分：

• 該站點沒法提供「證書」或者比這更安全的登陸方式（例如U-Key，電話覈實身份），而只能提供一些諸如「密碼錶」的登陸方式；
• 該企業在3年內曾經爆發過成功釣魚案例（例如資金被騙走、盜取、轉帳、匯款等）；（一個出過安全問題的企業，極可能原來就不重視安全問題，而且存在大量安全問題，而且隨後會真的很重視的概率也會比那些打一開始就注意的企業要低）
• 在給你的帳單/電子帳單中，會出現你的完整隱私信息，如姓名、身份證號碼、郵箱地址、電話號碼、帳號、帳戶名、交易方帳號等，而沒有任何的刪節（例如用*表明其中一部分），也沒有任何須要密碼才能解開查看的措施；
• 再給你的帳單/電子帳單中，每次都會提示您的某種操做的初始密碼，包括但不限於「資金操做密碼」、「查詢操做密碼」以及「解密電子帳單所須要的密碼」等；

先大概這麼多吧，歡迎切磋指正和補充。