LinkedIn密码泄露，你必须知道的四件事

最近一周互联网界最大的新闻莫过于LinkedIn和Last.fm等网站的用户账户密码泄露事故了。作为职业人士聚集的专业社交网站，LinkedIn出现如此重大的安全事故对于LinkedIn乃至所有社交网站的用户信任度来说是个不小的打击。对于由于职业发展需要在LinkedIn网站拥有账户的国内IT经理来说，LinkedIn账户泄露事件会直接影响到个人隐私甚至资产的安全，以下是IT经理网汇总的四点须知。

一、知道如何检测自己的账号是否泄露。LinkedIn用户可以到LastPass.com的这个LInkedIn账户安全测试网页去监测一下自己的LinkedIn密码是否泄露。LassPass是正规商业公司，在业内声誉不错，用户不用担心自己输入的密码会被黑客采集到破解字典里。LastPass在网站上承诺只有用户输入密码的哈希数值会被发回到LastPass的服务器上，而不是密码本身，而且LastPass不会存储任何与用户密码有关的信息。

二、LinkedIn对用户账户密码进行了加密，但是这并不意味着被泄露的密码还有最后一道安全防线。

虽然LinkedIn最近发布声明称用户账户经过加密，黑客破解密码将非常困难，但实际上，俄罗斯黑客在论坛上发布LinkedIn密码短短几个小时内，就有数百万加密密码被破解，包括很多所谓职业人士采用的包含大小写字母和数字的“强密码”。为什么会这样？举个简单的例子：云安全公司Qualys的首席工程师Francois Pesce最近利用开源密码破解工具John the Ripper去尝试破解最近泄漏的LinkedIn SHA1加密密码。破解方法很简单：猜一个密码，生成它的SHA1哈希值，搜索泄密密码哈希数据库，寻找是否匹配，如果匹配，则该密码是一个有效密码。他首先使用默认的字典，包含不到4000个单词，在一台没有显卡的旧电脑上运行破解程序，结果在4小时后就破解了90万常见密码。接着，他尝试不同的旧字典去发现不常见的密码，最终破解了200万加密密码。

三、LinkedIn账户密码目前不会出现大面积泄露。LinkedIn近日官方宣布用户密码（被盗）但没有被大规模泄露。而互联网安全公司赛门铁克则透露黑客给泄露账号的报价是1美元1个，这个价格比网银账户的15-850美元（视具体资金额定）低不少，因为黑客无法从社交账户中直接牟利，因此“销售量”不会很大，但值得注意的是黑客可以利用已泄露账号密码去攻击用户的网银账户。但是根据LinkedIn发布的公告，失窃的账户密码并未与邮件一同发布（但也仅仅是未一同发布而已，不过与国内互联网用户数据泄露事件中的邮件密码一起发布相比，造成的损失要小很多）。

四、不要使用大众化的密码，不要对强密码过于依赖。什么是大众化的密码？有人统计了这次LinkedIn等网站泄露中，英语国家人们最常用的1000个密码。如果与前一阵中国互联网用户账户密码大泄露事件中透露的数据进行比较，你会发现很多有趣的相同和不同点。最大的共同点是大家都比较喜欢1234567…不同就是英语国家最常用的密码是密码的英文单词“password”。总之，不要使用现成的英文单词、人名，也不要在多个账户中使用相同的密码（这次LinkedIn泄露的密码中很多都是“强密码”，越是强密码，黑客会越感兴趣，因为只有职业人士会注重密码强度，而且他们通常会非常信赖并依赖自己的强密码，在多个重要网络账户中都使用相同密码，反而被黑客一锅端）。