密码危机：银行密码泄露疑云重重

　　密码危机扩大化，银行密码疑似泄露

　　就在昨日，“密码危机”继续扩大，进入第三阶段。网曝“上亿银行密码泄露”，一时间人心惶惶，人人自危。人们不禁要问，银行系统里存储的密码是不是也像CSDN和天涯一样用明文存储？自己银行账户里的钱是不是也危险了？对此三大行做了紧急辟谣，证明泄露的信息完全是假的，子虚乌有，别有用心。但是我看身边的人还是本着“不管你信不信，反正我不信”的态度来对待银行的辟谣。更有甚者，大喊着“不好啦，银行辟谣啦！！”，然后跑去把银行里的钱取出来放床底下才能安心。

　　作为一个专业人士，我是这么看的，这事确实是事出有因，并非空穴来风，但是也并不值得陷入全民恐慌，去挤兑银行。

　　其实，银行的做法还是很靠谱的

　　首先我可以肯定的是，银行绝对不会明文存储你的取款密码，黑客不可能从数据库里导出你的密码。这点你完全可以相信银行的解释。这是因为银行确实采取了很多安全措施，包括：

　　一、哈希计算。银行存储的密码是用哈希算法处理的。学过计算机的都知道，哈希是一种单向加密算法，明文可以算出密文的哈希值，但是密文的哈希值却算不出明文来。比如你的密码是123456，但是存在库里的确实一大串数字和字母，一般人看不明白。

　　二、对称加密，一次一密。密码进过哈希后还要加密。道理其实很简单，银行的密码都是六位数字，排列组合就只有100万种可能性，这对于计算机来说是个小数目，计算机可以预先计算出000000到999999的全部哈希值建表备查。如果用简单哈希算法，将用户的密码哈希在表中检索，不到1秒钟就找到对应的明文了。因此哈希并不能彻底防止密码被猜测出来，所以必须得加密，而且还得一次一密，把卡号也作为生成加密密钥的“种子”。这样，虽然你我的密码都是123456，但是存在库里的一大串哈希值却是不一样的。这就保证了数据库存储的密码是很安全的。就算数据库管理员把库导出拿走，也不会出什么事。

　　三、不可导出的硬件密钥。加密运算的密钥一部分会以配置文件或者硬代码的以软件形式存储。但真正安全的是，有一部分密钥会存储在硬件加密机里，这个密钥是绝对取不出来的，因此用户的密码是不会离开银行。

　　但，当今世界并不太平

　　那么现在，你是不是就可以高枕无忧了呢？其实也不是，你的银行账号确实面临着一些威胁。常见的有：

　　一、钓鱼网站会骗取你的密码。钓鱼网站的做法，专业的叫法是社会工程学，俗称骗子。它通过给虚假的信息，比如短信或者邮件，诱使你登录虚假的银行网站骗取你输入密码。这样你的密码就丢了，一般对方会在第一时间把你的钱取走。

　　二、击键记录器等木马可能会记录你输入的密码。为此银行一般用软键盘和专用输入控件的做法防止击键木马截取用户账号和密码信息。但是这属于软件攻防的范畴，只要木马运行在你的计算机上，理论上它总有机会战胜银行的程序偷走你的密码。

　　三、传输中的密码被截获。目前银行普遍使用SSL加密通道防止传输中的密码被截获，但是至少从理论上讲“SSL中间人”攻击是存在的。

　　四、第三方支付平台会记录你的信息。比如支付宝、易支付等平台本身虽然不会存储你的银行密码，但是确实会存储你的银行卡号、姓名、身份证号、住址、电话等信息，甚至明文的支付密码。这些信息可能被用来攻击你的银行卡密码，比如你用生日做密码的话。而且支付平台的技术手段和管理措施不像银行那么周密，因此确实有可能泄露信息。

　　目前的舆论风向，已经转向其中的第三方支付平台，我也不知他们如何证明自己的清白。不过目前可以放心的是，第三方支付平台不会截获或者存储你的银行密码，即便是第三方支付平台的支付密码泄露也不会危害到你银行卡的安全。当然，前提是你不要懒到银行卡取款密码和第三方支付密码给设成一样的了。

　　那，我该怎么办？

　　目前的银行密码泄露，还止于谣言和疑似的范畴。但是我们也不能掉以轻心，毕竟银行里存的是真金白银，伤不起啊，所以还是要重视。我有几个建议：

　　一、资金要集中，把鸡蛋放在一个篮子里。具体原理请自行百度“无限制潜艇战+数学家”这两个关键词。找一家你认为不错的银行，其他行的卡可以都注销了。减少你的账户数，可以减少你的信息泄露的风险。

　　二、用网上银行，但一定要用专业版的。因为专业版更加安全，所以基本上柜台能做的网银都能做。作为一家专业PKI/CA产品与解决方案提供商，安软天地可以向你保证只要使用了USBKey数字证书，将彻底免除密码泄露的问题。

　　三、不要存太多的活期，把大部分钱存在理财账户里，这样不但收益高而且理财账户都有单独的密码保护，更加安全。

　　四、提高安全意识，定期修改银行密码、选择够复杂的密码。