生活在科技如此發(fā)達(dá)的今天，互聯(lián)網(wǎng)上我們已經(jīng)沒(méi)有任何秘密可言。說(shuō)這是一個(gè)「眾人裸奔」的時(shí)代，其實(shí)一點(diǎn)也不過(guò)分。不錯(cuò)，皇帝的新衣，說(shuō)的就是你，重點(diǎn)不在于你是皇帝，而在于「新衣」。不要以為別人說(shuō)你沒(méi)穿衣服，你不信，非得像我這么「純真的小孩」說(shuō)你在裸奔，你才相信。

Facebook 事件剛剛落下帷幕，Twitter 又?jǐn)嚭瓦M(jìn)來(lái)了。大數(shù)據(jù)的興起，云服務(wù)的枝繁葉茂，云端數(shù)據(jù)的計(jì)算，讓如今這個(gè)時(shí)代網(wǎng)絡(luò)安全顯的更為重要。

一

昨天，Twitter 在其官方博客上表示，他們?cè)趹?yīng)用內(nèi)部發(fā)現(xiàn)了新的密碼漏洞，“出于謹(jǐn)慎考慮”，建議 3.3 億月活躍用戶(hù)都能夠修改下密碼。

昨天早上，我一打開(kāi) Twitter ，推特就給我彈框提示，建議我修改密碼。然后就看到了上面的新聞。Twitter 強(qiáng)調(diào)，此漏洞非人為導(dǎo)致、也不存在違反濫用的情況。其首席技術(shù)官 Parag Agrawal 表示，該漏洞是在散列處理（將密碼轉(zhuǎn)換成隨機(jī)字符串的過(guò)程）中發(fā)現(xiàn)的，導(dǎo)致密碼被以普通文本的形式存儲(chǔ)在了 Twitter 內(nèi)部日志中。

我去，我們的賬號(hào)密碼竟然被明文寫(xiě)在了內(nèi)部的 Log 日志當(dāng)中。我們作為程序員都知道，密碼的存儲(chǔ)一向都是以加密的形式存儲(chǔ)在數(shù)據(jù)庫(kù)中的，正常情況下，在用戶(hù)登錄填寫(xiě)密碼的那一刻，在發(fā)送請(qǐng)求的時(shí)候就應(yīng)該把密碼加密了。而 Twitter 竟然在密碼轉(zhuǎn)換的時(shí)候把明文密碼存儲(chǔ)在日志中，犯了如此低級(jí)的錯(cuò)誤。

當(dāng)然，這次密碼裸奔的原因不在于用戶(hù)，而在于科技公司的失誤導(dǎo)致。

二

前天，我在瀏覽知乎的時(shí)候，看到了一個(gè)話題：《個(gè)人信息的泄露在今天已經(jīng)嚴(yán)重到了什么地步？對(duì)普通人的生活有多大的影響？》，有一個(gè)知乎網(wǎng)友的回答，看完之后，讓我感覺(jué)，我們程序員（作為普通用戶(hù)）自己也在犯一個(gè)很?chē)?yán)重的錯(cuò)誤。

這個(gè)知乎網(wǎng)友應(yīng)該是一個(gè)程序員，他講了一個(gè)自己發(fā)現(xiàn)的漏洞。

很多程序員都喜歡在 GitHub 上開(kāi)源自己的代碼，分享自己的成果。可是在分享代碼的同時(shí)就把自己的密碼給分享出來(lái)了。舉個(gè)例子：比如你開(kāi)源了一個(gè)客戶(hù)端代碼，里面有登錄功能，可能為了模擬登錄，你自己在代碼中寫(xiě)了一個(gè)死密碼，由于個(gè)人習(xí)慣原因，你可能寫(xiě)的測(cè)試賬號(hào)的密碼就是你經(jīng)常用的賬戶(hù)密碼。從此，你也開(kāi)始裸奔了。

這是一個(gè)數(shù)據(jù)庫(kù)連接的例子，用戶(hù)用了自己真實(shí)的代碼。

而知乎這個(gè)網(wǎng)友竟然用 Python 去爬蟲(chóng) GitHub 上的開(kāi)源代碼，用正則表達(dá)式去匹配可能出現(xiàn)密碼的地方，收集密碼，果不其然，VPS，收到了很多密碼，而 GitHub 上的賬號(hào)名字是可見(jiàn)的，密碼已有，賬號(hào)也可見(jiàn)，所以，很多程序員也開(kāi)始在 GitHub 上裸奔了。

當(dāng)然，這次密碼的裸奔是作為用戶(hù)的我們自己造成的。作為程序員和實(shí)現(xiàn)技術(shù)的我們，都這么不在意密碼，何況很多不懂技術(shù)的普通用戶(hù)？

以上兩個(gè)例子講的是作為用戶(hù)和科技公司在密碼上不注意導(dǎo)致的裸奔，是網(wǎng)絡(luò)安全中最常見(jiàn)的例子。我們作為用戶(hù)防治裸奔最好的方法就是每個(gè)平臺(tái)的賬號(hào)中的密碼最好不要設(shè)置一樣的，一旦一個(gè)平臺(tái)出現(xiàn)漏洞和密碼泄露，不至于牽扯到更大的范圍，造成更大的影響。如果你感覺(jué)密碼太多不容易，那就用個(gè)比較安全的密碼管理軟件，把密碼管理起來(lái)，我就不推薦了，省的萬(wàn)一推薦的管理密碼軟件不安全，豈不又讓你們光著屁股滿(mǎn)世界亂跑（開(kāi)玩笑）？

三

FaceBook 史上最大數(shù)據(jù)外泄事件更是讓你對(duì)網(wǎng)絡(luò)安全感到了擔(dān)心。劍橋分析在未經(jīng)用戶(hù)同意的情況下，利用在 Facebook 上獲得的 5000 萬(wàn)用戶(hù)的個(gè)人資料數(shù)據(jù)，來(lái)創(chuàng)建檔案，并在 2016 總統(tǒng)大選期間針對(duì)這些人進(jìn)行定向宣傳。有分析指特朗普在 2016 年的美國(guó)大選中勝出或與此次泄密門(mén)有著諸多聯(lián)系，而且泄密門(mén)背后又有通俄門(mén)的陰影。

這就是典型的大數(shù)據(jù)分析，根據(jù)收集的用戶(hù)信息，分析用戶(hù)行為，對(duì)持反對(duì)態(tài)度的人，發(fā)送一些定向宣傳，改變他們的看法，從而影響大選結(jié)果。

當(dāng)然，這次用戶(hù)的裸奔是由于 與 FaceBook 合作的第三方機(jī)構(gòu)不靠譜，不正當(dāng)使用數(shù)據(jù)造成的。但是你以為像 FaceBook 這樣大的超級(jí)公司沒(méi)有在分析你們的每個(gè)行為嗎？大數(shù)據(jù)行為分析，用好了好，用不好，自己就去想吧！

四

比如前一段時(shí)間，大約是過(guò)年期間，有網(wǎng)友在微博爆料，內(nèi)容大概如下幾條：