近一两年来有大量互联网用户迷失了自我，原因是很多网站泄露了我们的帐户、密码和邮件，以致于我们的网络身份被窃取和盗用。

脆弱的互联网服务在技术精湛的黑客面前不堪一击，而各路媒体和安全公司更是趁机扇风点火，夸大黑客的威力和事件的影响、吹嘘安全解决方案的能力。一时间弄得人心惶惶，大量小白用户放弃了使用便利但敏感的网上交易。

实际上，除了最常用的身份认证方式——“密码”被大量外泄之外，提供多重身份验证机制的硬件令牌、安全证书等等也都被黑客突破。

亭长朗然公司的安全研究员Bob Xue希望这些起安全事故能给人们带来深刻的教训：

• 黑客窃取用户身份的下一步目标很明确，即窃取用户的虚拟网络财产或转移银行卡内余额，而服务意识不够的网站往往会“捂”住密码泄露事件，给黑客较长的时间对用户逐个进行渗透攻击。
• 尽管有新的替代和创新身份鉴别技术，但是永远没有绝对的安全，动态令牌、网站证书被黑客攻陷相关的安全大戏仍将继续上演。
• 提供安全服务的公司自身的安全保障可能很不到位，安全服务公司的客户联络数据外泄、甚至安全产品源代码失窃等类似的事故还将持续下去。
• 移动终端设备底层的安全防范会加强，但在高端应用方面的安全性却比PC还脆弱。
• 用户终端和服务商系统仍是密码泄露的最大源头，不过移动互联网越来越普及，通过WIFI进行网络窃听的势头上升迅猛。
• 用户行为识别技术开始被用于身份验证、生物特征识别技术将大行其道、动态令牌技术升级等等，都将弥补口令认证的不足。
• 用户对安全的理解和接受才是企业级帐户和权限管理IAM获得成功的关键，对用户进行密码复杂度以密码保护相关的安全意识培训需成为安全管理人员的工作重点之一。
• 开放式认证和单点登录能够让用户只需少量的密码访问大量的网站应用，然而在不同的网站使用相同的密码是高风险行为，一个网站密码失窃带来的损失也将是巨大的。
• 即使对密码进行了哈希加密存储，高级的黑客仍然能够还原哈希值，或使用哈希密文直接成功登录部分网站。
• 即便使用了https安全的登录方式，黑客也能窃取网站的Cookie，在不窃取密码的情况下轻松入侵用户的网站帐户。

展望未来，昆明亭长朗然科技有限公司安全研究员Bob Xue称：在可见的将来，密码仍然将当作主要的身份认证途径被一直使用，但数量可能减少，少量大型互联网厂商将成为用户名和密码的“管理中心”；如短信验证码之类的低成本、易实施的多重身份验证机制将被广泛使用，而为解决密码安全问题的创新的身份识别和认证科技将不断出现。

近期，科技公司博客站点被黑的案子越来越多，造成系统的用户邮箱及密码等信息失窃，相信会给上下游的其它科技公司带来一定的安全管理启示。

关注互联网安全新闻的朋友们应该知道一个常识，就是几乎每周都会有黑客攻击造成密码泄露的安全事故发生。

这些安全事故多数发生在国外，但并不表示国内的事件不多，因为法治严谨的发达国家多会严格规定各组织机构在受到黑客攻击之后要立即通知受影响客户，而相对自由独立的海外媒体会捕捉并公开这些“丑闻”，通过引导大众，进而给那些遭遇安全事故的组织以压力。

国内的组织机构往往担心遭受巨额索赔或罚款，或者怕给商业信誉带来不良影响而喜欢疏通政府和媒体关系，企图通过公关来捂住“丑闻”，进而希望将大事化小，小事化了。

在笔者的安全审计工作中，经常有碰到客户拿出一大堆安全管理文档和流程，但没有相关的记录，就安全事件响应流程方面，多数客户称组织内部并没有严重安全事故发生过，这令人哭不得。

事实上，任何组织难免都会遭遇安全事故，“不经历风雨，怎能见彩虹”，小孩在学习走路掌握身体平衡的过程中必定要经历一些摔打的，那些自称没有经历过严重信息安全事故的组织在安全管理方面肯定是不成熟的，因为成熟的安全事故响应体系会要求有详细的事故响应处理记录、根本原因分析以及防范再次发生的根治措施。没有这些记录或报告，是企图在表明安全运行状态一直很良好呢？还是在从侧面证明安全管理水平一直处于混沌而不成熟的状态呢？

当然，安全事故发生后的响应目标是将损失降至可能最低，这里面的损失最重要的是商业信誉，诚然，目前国内几家互联网公司的流氓黑社会行为很令人不齿，这主要原因是大量的用户都是互联网安全小白，他们缺乏辨识是非正误的能力，以便被绑架了都不知晓。

事实上，那些流氓黑社会尽管短期获得了所谓的“成功”，但一点都不受社会中坚阶层如白领精英们的尊重，随着社会大众的互联网安全意识的提升和中产阶级队伍的扩大，那些没有基本商业道德准则，不讲信誉的流氓行径会受到越来越多人的唾弃，不过我们似乎也应该相信，少部分黑社会也可能会在积累了血泪资本之后通过洗钱等手段而逐渐转向正路。

我们提到的这“正路”，是指尊重比较普世的商业价值，就互联网安全事故来讲，至少有一条，是善待客户，连客户网络帐户被窃的基本知情权都给剥夺了，还谈什么客户至上，提高服务质量，改进客户满意度，超越客户期望，给客户带来最佳体验……

在普世商业价值观的指导下，回到安全事故响应的目标，将可能的损失降至最低，降低谁的损失？有人们往往会错误地将自身和客户的利益对立起来，这是严重违背普世商业伦理的，就比如你不能以更低的价格向客户提供更好的产品或服务，不要坑蒙拐骗，最好在你能做到更有竞争力之前推荐客户去其他家。因为当今竞争激烈，尽管建立客户的忠诚度难，但是你的坑蒙拐骗行为可能无疑是在将难上加难。

当你提供的互联网服务出现问题时，比如用户的密码外泄时，应该马上响应、迅速通知受影响的用户，并在技术层面帮助用户挽回可能的损失，比如要求用户登录之后立即更改密码、加入手机验证码之类的多重身份验证机制、暂时锁定那些未修改密码和确认身份的帐户进行虚拟财产交易、加强异常登录监控等等，这些措施都能够给服务质量带来积极的影响，因为安全事故已经发生，用户能理解而且只能接受现实，良好的补救措施反而会给商业信誉加分。

更多的，就是分析事故发生的根本原因，制定防范措施，相信组织内部的管理和沟通协调不是大的问题。对外，在制定这些安全措施的同时，也需要加强对系统用户的安全意识教育和安全措施使用培训，昆明亭长朗然科技有限公司的安全咨询顾问James Dong认为有有几点是必需的：

1.教育用户密码安全，使用强健的密码，包含大小写字母、数字和特殊标点符号，这些正好也可以结合网站密码强度验证功能；避免和其它网站使用相同的密码；定期更改密码等等。

2.注意防范社交攻击和钓鱼攻击，犯罪分子可能会冒充各类身份使用各种下三滥的手段来入侵用户的大脑和计算终端，甚至包括冒充你的网站服务人员来实施诈骗，教育用户不要随意接收可疑文件或点击网络链接。

3.梳理沟通渠道和紧急情况响应指南，便于用户在发现异常或问题时及时报告，以便采取适当的安全响应措施。

4.注意社交网络安全，动态网站论坛和博客被黑的概率要远高于静态网站，社交网络里的一些互动内容更是不能轻易相信，也不要在社交网站发表可能会犯罪分子利用的言论。

最后相信您已经知道，网站、应用平台和数据的安全维护关键在科技公司，但记住最终客户的水准提升上来，才是保障商业流程安全的核心，因为最终用户的安全意识低下是整体商业流程中最严重的安全漏洞，最终用户可能也是网络犯罪等安全威胁所最为关注的目标，还是一个较为散漫的大群体。