本月18日，有不少網(wǎng)友在微博上反映稱用網(wǎng)易郵箱綁定的包括蘋果Apple ID、微博、支付寶、百度云盤、游戲等賬號均遭到鎖定或風(fēng)險提醒。

19日下午，國內(nèi)知名漏洞發(fā)布平臺（烏云）上出現(xiàn)了一個數(shù)據(jù)泄露報告，據(jù)該報告顯示，網(wǎng)易126/163郵箱的數(shù)據(jù)庫疑似泄露，影響數(shù)量總共數(shù)億條，涉及了郵箱賬號、密碼（MD5）、密保信息、注冊IP以及用戶生日等信息。

網(wǎng)易郵箱是否真的存在致命漏洞？

烏云言之鑿鑿，用戶控訴如潮。網(wǎng)易郵箱隨后的公關(guān)聲明中數(shù)據(jù)泄露一說予以否認(rèn)，不過聲明中與郵箱登錄界面一再向用戶發(fā)出密碼修改提醒，可見此事并非空穴來風(fēng)。

與不久前的12306官網(wǎng)泄密事件一樣，網(wǎng)易郵箱也將數(shù)據(jù)泄露渠道歸咎于“第三方平臺”，那么，這些“第三方平臺”究竟是如何導(dǎo)致一場又一場互聯(lián)網(wǎng)泄密風(fēng)波的呢？

如果12306官網(wǎng)與網(wǎng)易郵箱所述為真，那么此次泄密事件則可能為于圈內(nèi)人所熟知的“撞庫”。

何為撞庫？黑客手頭掌握社工庫，用其中包含的信息去測試目標(biāo)網(wǎng)站。比如在網(wǎng)站A盜了a用戶，在網(wǎng)站B盜了b用戶，黑客就會相互共享，一起用兩個賬號密碼來試CDEF……對于撞庫的預(yù)防，更多的是用戶從自身安全意識方面來加強(qiáng)防御。比如一個密碼不要通用多個賬戶，更不要用一個郵箱賬號綁定所有網(wǎng)上工具、保持定期修改密碼、避開常見弱智密碼等。

但如果網(wǎng)站本身存在嚴(yán)重技術(shù)漏洞被黑客批量竊取數(shù)據(jù)庫數(shù)據(jù)，即拖庫，那問題就嚴(yán)重多了。

相比撞庫，拖庫的危害和預(yù)防難度要大得多：黑客掌握某網(wǎng)站的高危漏洞，并且利用漏洞將用戶信息尤其是密碼完整盜取出來。至于盜取出來以后，黑客想干嘛就干嘛，完全由不得你。

此次網(wǎng)易郵箱數(shù)據(jù)泄露，有文章稱因其密碼存儲只是基于單一的md5算法，這種單一hash加密的方式容易被采用彩虹表的方式反解。要解決這個問題，只能從加強(qiáng)密碼保護(hù)算法的復(fù)雜程度入手。

還是拿12306官網(wǎng)來說事好了，12306宣稱自己遭遇的泄密僅僅是因為撞庫而非拖庫后的密碼破解，因為他們的網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為雙重加密的非明文轉(zhuǎn)換碼，而非網(wǎng)絡(luò)上流傳的明文密碼。而電子郵箱行業(yè)中，也有139郵箱這種采用了基于md5算法的帶salt雙重hash算法的密碼存儲方式，可以有效提升黑客拖庫后破解郵箱密碼的難度，即便不幸被拖庫的情況下，也較難對郵箱密碼進(jìn)行反解。

是什么讓安全成為行業(yè)難題？

作為互聯(lián)網(wǎng)最基礎(chǔ)最老牌的工具之一，電子郵箱已歷經(jīng)幾十年發(fā)展，產(chǎn)品成熟度和安全機(jī)制健全度相對其他互聯(lián)網(wǎng)產(chǎn)品要好得多，縱觀國內(nèi)各家主流電郵廠商，不僅都具備一套完整的防御機(jī)制來確保信息安全，風(fēng)控政策也一再升級。可惜泄露事件還是屢爆不鮮，是什么讓安全成為行業(yè)難題？

其實，網(wǎng)絡(luò)安全一直不被用戶足夠重視。在中國，網(wǎng)絡(luò)安全與食品安全存在相似之處：那就是讓人不放心。不同之處在于，后者舉國上下共同關(guān)注并監(jiān)管，而前者的重要性一直不能得到人們足夠的重視。大部分人認(rèn)為，既不是奧巴馬也不是喬布斯，何德何能讓黑客盯上我？不過此次網(wǎng)易泄露事件，倒是給忙不迭修改密碼的大家狠狠上了一課。

安全并非只是技術(shù)和設(shè)備層面的事情，對安全的意識形態(tài)層面的重視和正確認(rèn)識不到位，再強(qiáng)大的技術(shù)和設(shè)備所能起到的作用也是極其有限的。

筆者的觀點(diǎn)是，不管是網(wǎng)絡(luò)用戶還是產(chǎn)品廠商，在網(wǎng)絡(luò)安全保護(hù)方面都同樣負(fù)有責(zé)任：一方面，產(chǎn)品廠商需要加強(qiáng)自身網(wǎng)絡(luò)的穩(wěn)定性和信息的安全性，而另一方面，網(wǎng)絡(luò)用戶也需要提升自身的信息安全意識：不使用相同秘密、不隨意進(jìn)行支付等等。當(dāng)用戶的安全意識與廠商的安全技術(shù)做到同步了，不管你是用163郵箱QQ郵箱還是139郵箱，都一樣安全放心。