126邮箱的安全提醒

久没登录126邮箱了,今儿登上去看看,发现了首页新增了醒目的安全提示

security1

于是立刻点进去看看,看到了这样一个页面

security2

令我惊讶的是,提示里居然有密码强度一栏……

网站使用密码登录的方式,要么是保存明文密码,要么是保存经过指定不可逆算法转换过的密文密码。明文密码很明显的会给人一种不安全的感觉,由于一个密码通常会在多个网站使用,如果有人破解了其中一个使用明文保存的网站,那么其他账户的安全就收到了威胁。我一般写网站,在数据库里存的是密码经过sha1过后的摘要,这样即使一个人获取了这个摘要,由于sha1的不可逆性,他也无法检测出用户原来的密码。而同样的,网站部分也是对用户原始密码是一无所知的,用户每次登录输入的明文密码只作为转换函数的输入参数,并不会记录。这样就保证了原始密码的安全性。

可是126能够像这样提示说密码强度不够,要么就是它使用明文储存,要么说明起码它将用户的明文密码挪作它用,这本质是和保存明文密码是一样的。那么,即使用户密码强度再高,又怎么给人安全感呢……

所以,立刻把126的密码改成其独享的密码串吧,就算126有记录,那也只是他家的邮箱密码而已,至少不会影响到其他账号了……