由LinkedIn数据库泄漏引发的思考(2)

　　在帐号体系中，1.单点设置密码是有强密码策略，那么很多人就习惯性的去输入1qazxsw2，完全符合策略，可是这个只能算大众强密码。2.预防这种符合策略又不安全的密码，我们在帐号体系中有比较有效的方法防止自动化密码验证行为。

　　可是笔者担心的是，随着密码库泄漏的数量越来越多，不能在密码设置中去彻底解决弱密码问题，需依靠堵截自动化行为密码验证的行为难免百密一疏。

　　隐私保护

　　这次linkedin密码泄露的问题，衍生出了一个隐私问题，有关科技网站爆料，linkedin的IOS客户端存在偷偷上传用户的日历，待办事件，通讯录或者还有密码信息，linkedin的解释是上传一些非必要的数据，是为了做数据分析，更好地为用户服务，但是这个在隐私保护意识强的国外，无疑是会受到指责的，在IOS客户端中，Path等也出现过这样的问题。不过都在被爆出来后迅速修复了。

　　我们不仅要保护我们的客户端没有危害用户隐私和密码明文存储的行为，而且要保护我们的用户不受到恶意程序的侵害，特别是在安卓平台下，未经用户允许，读取短信，图片，甚至是吸费的程序一直层出不穷。

　　【尾声】

　　安全无小事，仅靠网络安全工作者的努力是远远不够的，一方面我们在前行，另外一方面安全需要大家的参与和配合，这样黑客才无处遁形。

　　写完这篇稿子的时候，在微博上得知last.fm的数据库也泄漏了，在日益严峻的网络安全环境下，安全工作任重道远。

原文转自：http://www.ltesting.net