【扩散】你的12306信息或已泄露正被兜售 | 不要只用一个密码

　知名互联网安全漏洞报告平台“乌云网”25日10时59分发布消息说，“大量12306用户数据在互联网疯传”。消息称，目前这些数据的泄露途径尚不确定，已将漏洞相关情况交由国家互联网应急中心。

　　今天（25日）上午，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。

乌云网 截图

12306信息泄露情况 来自乌云-漏洞报告平台官方微博

　　据了解，这则关于12306的漏洞报告，危害登记显示为“高”，漏洞类型则是“用户资料大量泄漏”，这意味着，这个漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露，而泄漏的途径目前还不知道。有说法是，目前已知的泄露量已经达到了14万组，但这个说法尚未得到官方证实。

　　目前该漏洞已经提交给了国家互联网应急中心进行处理，暂无进一步消息。

　　对此，中国铁路客户服务中心回应称，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

　　中国铁路客户服务中心还提醒，不要使用第三方抢票软件购票，或委托第三方网站购票。

　　自本月21号起，网上开始销售2015年除夕火车票。随即，作为唯一网络渠道，12306网站迎来抢票最高峰。但遗憾的是和往年一样，这个斥资3亿开发的网站还是没有抗住压力，页面刷新缓慢、连续查询时出现“刷新失败”，甚至还会在关键时刻突然取消用户的登录。

　　纵观12306网站多年的运营情况，2012年底该网站就曾因故障两次发公告暂停网上售票。如果说当时因为网站刚刚建立，尚缺乏运营经验导致问题频出还情有可原，如今，再次出现问题令众多网友对其感到愤怒。

以下为中国铁路客户服务中心回应全文：
关于提醒广大旅客使用12306官方网站购票的公告
针对互联网上出现“12306网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码.我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过12306官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

身份证、账号及密码等信息泄露会带的严重影响已无需赘述。编者在这里要提醒的是：在现实生活中，淘宝、微博、邮箱、网银等需用户名及密码登陆的网站数十种，如你偷懒，重复使用同一密码，那有人一旦窃取了你的密码，就能推测出其他账号的密码。但密码太多，又很难记，怎么办？

1.对密码重要程度进行区分
　　
　　1：核心密码。包括邮箱，银行，PayPal，VPS.每个都不一样，共同点是至少十六位，有数字、大小写字母和特殊符号，与自己的任何实际信息都无关，至少半年换一次。建议采取特定的脑兼容算法来生成它，举例：
　　取一个八字母的英文单词，比如 insanity
　　将第一次出现的 S A E I O 替换为 $ 4 3 1 0，比如 insanity 变为 1n$4nity [1]
　　将最后一个不是数字的英文字母变为大写，比如 1n$4nity 变为 1n$4nitY
　　将这个英文单词映射为手机按键，比如 insanity 映射为 46726489
　　将第 4 步得到的数字接在第 3 部后面，最后得到 1n$4nitY46726489

　　2：一般密码。包括各种即时通讯和比较重要的社交站。采用核心密码算法的简化版本。可以用一个单词加上该服务的域名或服务商，套用算法的前三步，比如 QQ 就是 1n$4nitYt3ncenT 。

　　3：可弃密码。比如注册各种需要登录才能下载或者阅读的论坛，就是一个弱口令，万年不换。这里重要的是用户名最好与上述两层级都不同。如果这个服务用过一段时间之后觉得不错，重新注册一个帐号，升级为一般密码。（——知乎用户：涛吴）


2.密码不是越复杂越好 方法对才行

　　密码是不是越复杂越好？很不幸，答案是否定的。人们通常认为，把密码设得越复杂，别人就越难猜到，但这样一来无疑增加了记忆的难度。而对于那些企图窥探你秘密的人来说，他们也只是想不到，而非“猜不到”。现如今，还有几个人破译密码是靠大脑“猜”的呢？

保证密码强度的关键是什么？

　　其实，上面的漫画已经给出了答案：密码长度。但实际上，又长有复杂的密码不容易记住。除了以上知乎网友分享的经验外，还能怎么设？

使用统一规则

　　“用统一规则记住多个不同密码”是个不错的选择。毕竟记住一个规则比记住一串杂乱无序的字符要容易多了，也可以实现“一把钥匙开一扇门”的策略。举个例子，给出一个简单的密码设置规则（以电子信箱为例）：
　　[密码]=2*（[用户名标识符（小写/大写）]+[用户名长度]+[.]+[网站标识符（大写/小写）]）
　　例：guokr123@gmail.com，密码为：gk8.GM GK8.gm
　　songshuhui@hotmail.com 密码为：ssh10.HTSSH10.ht

你要是嫌复杂，那就来点简单的

　　（1）某句短语或是某首歌曲副歌的首字母。比如说，如果你很喜欢The Jackson 5的那首成名曲 I Want You Back，就可以用“IWUB”。怎么记？当然是在心里哼唱一下这首歌啦。

　　（2）用键盘上比较靠近的按键组合，比如说“yui”或是“zxcv”。要记住它就更简单啦——低头看下键盘就好。

　　（3）用你另一半的名字首字母，或者你们的周年纪念日，比如“TFB0602”。这一方法还能带来其他好处：你再也不会忘记周年纪念日了吧！

　　（4） 更安全的方法：选了一个容易记忆的基础密码之后，键入时将手指在键盘上再向上移一格。比如说，基础密码是“cat”，在稍作变化之后，就变成了“dq5”。基础密码选取工作完成后，再根据不同的服务商名来叠加不同信息就好。

不过，“处心积虑”设置一个复杂的密码，就真的安全了吗？

　　1.再复杂，再难记的密码，你用到了一个不安全的网站，一样是浮云。比如你使用一个16+以上包含所谓的大小写英文字母/还有数字特殊字符，用到一个没有加密的网站，网站被黑客黑了，你的密码也就泄露了。

　　2.对于国内的网站的安全现状，不是密码的复杂度的问题，而是如何保证你重要密码，比如银行密码，在线支付密码，重要的即时通讯工具密码，比如qq、msn等，提供商不会被黑泄露你的密码。
——知乎用户：Neeao，阿里巴巴集团安全专家

讲了这么多，原来是：记住密码靠自己，泄露密码看人品！只能帮到这了！

内容来自网络，版权归原作者！