苹果“艳照门”的启发
　　苹果的iCloud“艳照门”事件前段时间也是闹得沸沸扬扬，各种求种子的也是让各大论坛看上去一片祥和，此处且按下不表。现在事件已经沉静下来了有一段日子，我们有必要看看在这起事件中我们到底应该注意到些什么。安全，这是完全无法回避的一个问题。密码，到底问题出在了哪？
　　iCloud“艳照门”事件
　　我们先来简短地回顾一下整个事件。(可能会有点无聊，已经知道事件的网友可以直接跳下一页)就在本月初，一名黑客利用苹果手机的iCloud存储空间漏洞，进入了好莱坞女星Jennifer Lawrence的苹果手机并大肆盗窃拷贝其中储存的各类“不雅和自拍”图片，然后将其发布在网上出售以换取“比特币”。
　　这次的艳照门事件据传共流出了Jennifer Lawrence的60张不雅照，甚至有网友声称还搞到了视频。事实上除了Jennifer Lawrence之外，还有大量的女星于近期曝出不雅照事件，包括了Jennifer Lopez、Kirsten Dunst、Krysten 刀椀琀琀攀爀、Kaley Cuoco、Yvonne Strahovski、Teresa Palmer和Jessica Brown Findlay等。
　　Jennifer Lawrence
　　苹果COE库克在事后强调“艳照门”事件并不是iCloud的安全性出了问题，而是黑客正确回答出了用户设置的一系列问题，或是利用钓鱼网站套取了用户的账号和密码，这都不是iCloud安全性的范畴。虽然这番言论有洗地的嫌疑，但是同样也说明很多人在密码安全管理上存在很大的问题。
　　后来苹果上线了新的安全通知服务，当有人使用Apple ID登陆网页端iCloud.com时，将会收到提醒电子邮件。而且新的系统允许用户立即采取措施，包括以更改密码的方式重新取得对账户的控制权，或者向苹果安全团队报告。
　　iCloud.com两步验证
　　除此之外苹果还正式为iCloud.com网站开启了两步验证机制，当用户想要访问iCloud .com网页应用时，登陆需要输入验证码。只有当用户输入正确验证码时，才可以访问邮件、通讯录、日历、提醒事项、Pages、Numbers和Keynote等应用 。不过查找iPhone功能依然可以无需密码使用。
　　不过有意思的是，一份苹果与某安全研究人员的来往邮件显示，伦敦的软件开发人员Ibrahim Balic在3月26日时就向苹果提交了一份安全反馈，称他已经成功绕过了iCloud安全机制，发动了Brute-Force攻击(穷举暴力破解密码)。并且他可以在任意iCloud账户上尝试2万多个密码组合，而账户并不会被锁定。
　　也就是说苹果早就知道了这个漏洞却没有任何行动，而女星的艳照也很有可能是通过暴力破解的方式泄漏出来的，苹果方面还是有着不可推卸的责任。
　　好了事件我们就了解到这里，关键是我们能从中挖掘出哪些与密码安全相关的信息来扩展出我们今天的话题。对与密码和那些与其相关的东西，我们又该怎么样去理解。今天我们试图用一种最直白简单的方法来聊聊“密码的那些事儿”。

密码流通三环节
　　密码这个概念在当今社会，尤其是互联网上实在是太寻常不过，寻常到人们几乎已经不再意识到它的存在了，觉得这是一件理所当然的事。但是就是这么一个习以为常的东西，且关系着一个人或企业的隐私、财产甚至人生安全。
　　首先，什么是密码？这个概念如果我去百度百科搜索一个粘贴过来没有任何意义，我们就只要把它想象成一把钥匙，一把能够进入你家门的钥匙就可以了。
　　其次就是我们今天话题的重点了——到底是谁动了我们的密码？又是怎样偷走我们的东西的呢？
　　谁动了我的密码？
　　要弄明白这一点，我们就要先来大致了解一下密码的运作过程。当我们创建了一个账户和密码之后，相应的服务器端也就相应地生成了一个匹配的信息，即这个唯一的账户只能通过这个唯一的密码来打开。当我们在本地输入密码后，网络将我们的密码传输到服务器，然后服务器再用密码解开那道锁，我们就打开了自己账户的大门。
　　简单地来说，如果密码是一把钥匙，我们放在服务器的资料是财产的话，那么服务器就相当于银行，存放我们资料的空间相当于银行保险柜，而网络就相当于快递公司。这是我们就会发现这其实是一个流通的过程。
　　那么密码被盗或资料被窃就很可能发生在这个流通过程中三个节点中的任何一个，这就牵扯到用户本身、网络和服务器，任何一端出现问题都有可能导致密码被盗。这其实也是到目前为止发生的所有密码被盗事件所表现出来的共性。
　　流通源头的隐患
　　下面我们将用一些比喻的方法来让整个过程变得容易理解，先来看看发生在用户本身的问题。事实上大部分的密码被盗事件都是由于用户没有妥善保管好自己的密码导致的，这就好比一个小偷从你身上偷走了你的钥匙和身份证，然后去银行打开了你的保险柜一样。
　　而在这方面的最大的一个原因就是，设置的密码太过简单。这是一份Gmail已泄露密码的统计表，其中列出了使用最多的100种密码。从这可以看出来，被盗的往往就是这些看似不可思议的简单密码，甚至不用黑客，普通人多试几次都能破解开。
　　简单到不可思议的密码
　　前面我们也说到了，苹果iCloud的漏洞允许穷举暴力破解密码，越是简单的密码越能够在短时间之内被破解。尤其是某些人明星用自己的生日等等作为密码，而这些信息基本都是公开的，不能被破解都奇怪了。
　　本地密码被盗还有一个原因就是被木马入侵，这就好比自己家被小偷设置了机关，然后偷走了你的钥匙。木马入侵电脑或手机后将在不知不觉间盗走你的个人信息，包括密码。而这类的木马也有很多类型，比如记录键盘的木马、或是直接收集数据的密码、还有远程控制你电脑的木马等等。
　　木马时刻威胁着你
　　总的来说，保护好自己的密码，从源头断绝黑客们的行动是最直接也是最有效的防范方式，事实上这也基本上是大部分用户唯一能够采取的安全防范措施。因为一旦进入网络和服务器环节，用户自己将不再可控。

来自服务器的不确定性
　　当然也会有用户反映，自己已经百分之百地保护好了自己的密码，可为什么账户还是被盗了呢？因为这仅仅是确保了在流通的第一个环节没有出现问题，却不能够保证在最后一个环节出现问题，简单地说就是服务器遭贼手了。
　　事实上服务器遭到攻击的事件时有发生，然而由服务商主观造成的并不多，但是后果往往比较严重。比较常见的问题就是“明文密码”，一般来说用户的账户密码在服务器是加密保存的，用来防止服务器遭到入侵后用户密码泄露。当黑客黑进服务器后会发现，用户账号密码本身还有一层密码。
　　明文密码
　　打个比方说来就是，当小偷进入银行后，发现存户的保险柜备用钥匙本身还放在一个保险柜中，不先破开这个保险柜就拿不到钥匙。可见账号密码在服务器进行二次加密是很有必要的，但是某些服务商为了省事儿直接将用户的账户密码明文保存，黑客只要进入服务器就能把所有密码看个一清二楚。这样你的密码还有不丢的道理吗？
　　除了“明文密码”之外，还有就是密码保存技术过于落后也可能造成信息被盗。简单地来说，现在的技术支持将用户的账号和密码打散之后进行存放，这样黑客即使看到了账号和密码也对应不上。这就好比拿着一堆钥匙和锁却不知道如何对应打开一样。不过在一些古老的服务器中并没有采用这种技术，因此也为用户账号密码的安全蒙上了一层阴影。
　　密码也要云技术
　　还有从苹果本次的“艳照门”事件来看，如果苹果开始就设定为输错密码几次之后强制锁定账号，那么就降低了黑客穷举暴力破解用户密码的可能性。
　　不过目前来说，服务器面临最大的问题就是黑客的强行突破，因为某些严重的漏洞很可能会给黑客突破服务器防御的机会，而偏偏这些漏洞不知道是什么时候就会冒出来一个，让人防不甚防。如果黑客强行进入服务器并利用漏洞盗取用户信息将会是非常严重的安全问题，就好像劫匪们强行抢占银行盗取财物一样，用户的账号密码都将不保。
　　服务器安全问题
　　这也是为什么企业都非常关注服务器安全，并成立专门的安全组织来研究和封堵每一个安全漏洞的原因，因为这样的风险每一个企业都无法承受。
　　所以不要以为自己保管好了密码就万事大吉了，在一定程度上我们还需要选择一个靠谱的服务商，有着良好的服务器安全技术，并有能力抵御来自黑客的恶性攻击。

网络的监听与劫持
　　前面我们已经弄明白了在整个密码流通过程中，第一环节与最终环节上可能产生的密码被盗的原因，现在我们再来看看最后剩下的中间环节，即网络传输。
　　如果我们用户本身和服务器都确保了我们的信息是安全可靠的，那么我们的密码是不是就百分之百安全了呢？其实也不是，因为还有一个环节没有清理干净，那就是从本地发送密码到服务器的必经之路(也是媒介)——网络。
　　如果用户与服务器之间的网络被劫持，那么你的密码仍然存在被盗的风险。这就像你的钥匙在快递去银行的路程当中被劫持了一样。
　　“监听卫士”斯诺登
　　不过劫持网络是一件成本跟风险很高的事情，因为这需要黑客能够对整个网络进行监听，而这就涉及到了网络运营商。如此高风险的活动其实是很少见的，能够对网络进行监听的除了政府部门，一般的个人和组织都无法做到。
　　既然是这样，也就很少有人会用这样的方式去盗取那些普通的账号密码，实在是有些大题小做。所以对一般的用户来说，基本不用担心我们的账号密码会在网络传输的过程当中被盗。而事实上即便真的有人这么做，作为用户本身也无能为力，只能寄希望于运营商和政府本门的打击。
　　如何保护我们的密码？
　　前面我们已经把密码流通过程三个环节中可能导致被盗的原因进行了分析，那么对于用户来说，又该如何保护我们的密码尽可能地不被盗取呢？我们根据前面列出的一系列原因也总结了一些易于使用的密码保护措施。
　　首先，请确保你的密码足够复杂，而不是简单的数字和字母，这将使你的密码在黑客穷举暴力破解的行动下撑过较长的时间，直到服务器因检测到多次错误而启动自动锁定机制。请将你的密码保存在足够安全的地方，比如专门的手抄本中，尽管这有些麻烦，但是这是黑客完全无法入侵的领域。
　　其次，请不要使用一套账号和密码注册你所有的网络服务，因为一旦有一个服务的密码被盗，那么旧意味着你其他服务的安全性也将处在阴影笼罩之中。过多的密码可能会难以记清，我们可以使用1Password这样的工具(当然你得先保证1Password本身的安全)，或是传统的纸笔记录。
　　1Password
　　再次，请尽可能地使用多重防护工具来保护你的账号安全。在当前的网络服务中往往提供了密码之外的安全防护工具，比如安全码、短信验证、安全证书等等，尤其是涉及到资金的服务以及游戏。在现实情况下，总是有人因为怕麻烦而采取无视的态度，但这并不是一个正确的行为。请打开你的账号安全中心，开启你所能使用的所有安全工具。
　　尽可能多开安全服务
　　接着，在有条件的情况下尽可能采用非密码识别机制，比如指纹识别、手机二维码扫描、手机App激活等来代替密码输入。这些识别工具比密码更具备唯一性，在安全性方面也要强与密码。只要我们的手机没有丢失，手指还连在自己的手上，账户被盗的风险就会大大降低。
　　TouchID
　　请为你的电脑和手机创造一个安全健康的使用环境，学会识别钓鱼网站，不要下载奇怪的东西，让电脑和手机始终处于无毒的状态，不要给木马任何入侵的机会。一旦发现被木马感染，请迅速清除，严重地请重装系统。
　　最后，请选择值得信任和具备一定技术实力的互联网公司提供的服务，避免祸起萧墙。
　　当然这些方法并非都是万能的，因为用户自己能做的仅仅局限在源头阶段，至于之后的网络传输和服务器环节用户是无能为力的，只能依靠运营商和服务商方面的力量了。就好比我们使用指纹识别来验证信息，但是这些仍然需要在服务器端进行解码，如果服务器给攻击则仍然有被盗的风险。
　　所以总结一句话，做好自己该做的，别的就听天由命吧，在这个时代想要逃离互联网是不现实的。