CSDN爆庫內幕：密碼為什么明文存放？

        近期頻頻暴露國內大網站明文保存用戶密碼的問題，也許你已經重置了大部分常用密碼，但是否從此就安全了呢？溯源究底，網友 shell 總結了一以下幾點密碼需要明文存放的原因：

1. 不用明文密碼沒法應付檢查。大家知道互聯網審查，有時往往會一個電話過來，要 XX 用戶的密碼。如果你沒法給出，上頭就認為你不配合，事情各種難搞。作為審查機構的老板，當然沒必要知道明文密碼的危害。他們只知道，我要密碼，為什么不 行。所以，悲崔的程序員們就往往會得到一條死命令，保存明文密碼。

2. 壓根不知道明文密碼有什么問題。中國的互聯網有太多的沒基礎的新人，從石頭的縫隙中頑強的生長出來。這不是壞事，壞事的是這些人往往會在一些基礎問題上出 現奇怪的毛病。例如有些程序員，寫程序很快，但是居然從來不知道密碼明文存放會導致什么問題。更神奇的是，這些人中，有一家銀行…

3. 自信暴棚的混帳。有些人的自信總比別人強，而且強在莫名其妙的地方。例如：我的服務器肯定是沒問題的，所以我的密碼一定要明文存放。如果不，就是質疑我的技術。

實話說，這種人真是少數中的少數。

4. 遺留系統。很多系統設計的時候因為某個其他理由，使用了明文密碼。等后來這個理由不存在了，密碼系統升級成了一個困難。因為密碼系統太重要了，所以在沒有 太大利益的情況下，總是傾向于不修改系統。但是有什么足夠利益來推動系統修改呢？用戶安全問題在發現前不是一個問題——好比這次的 CSDN，不是被暴出來的話就根本不會被當作一個問題。系統的管理者，每個人都沒有足夠的動力去修改系統。

5. 世界的陰暗角落。有的時候，程序員/老板明文存放的理由，是為了方便盜竊用戶其他網站資料。例如我所知的某釣魚案例，你注冊網站，就提供很多免費服務，網 站看起來也很靠譜——除了后來突然爆出這家網站其實暗地中用你的生日/密碼猜解信用卡/銀行卡密碼，大家才突然發現，這家網站其實根本沒有在美國注冊，而 是一個聽都沒聽說過的國家。

而且很多網站提供從其他網站導入之類的功能，更加的危險。以前經常爆出 推ter 密碼被竊取，主要就是因為 OAuth 開放以前，推ter 上的第三方應用需要提供原生密碼，導致很多小應用的目的其實就是收集密碼…

6. 為了給用戶提供方便。這個理由和上一個很類似，不過不是為了某些險惡的目的。而是客戶經常要求——為什么我不能做 XX 事，為什么我不能 blahblah。好吧，為了讓你能，我們就必須保存明文密碼。

        看來，此次 CSDN 爆庫事件需要引發我們的更多思考，關于網站明文保存密碼，你是否還有其他看法么？

        配圖來源：topsecretwriters