修改密碼的那點事兒

2011年歲末先后爆出CSDN、天涯等站點的用戶明文密碼泄漏，大家紛紛忙著修改密碼，不少網站也通過在網頁醒目位置發布公告或發送郵件提醒告知用戶及時修改自己的密碼以確保賬戶安全。對網站而言，希望用戶能夠定期主動去修改密碼并保證一定的復雜度；但對用戶來說，一般不到萬不得已，通常不會經常修改密碼。同樣是表單，注冊表單的產品設計大家常討論，那么修改密碼的表單設計及整體體驗有是如何？
一、大型門戶 1. 網易通行證


表單中的每個輸入框均會給出有效性反饋，新密碼的復雜度要求一直顯示在輸入框下方，并需要填寫驗證碼（英文+數字，不區分大小寫）。
另：界面上有一處“>”字符漏出，應是缺陷。
2. 搜狐通行證


界面中提示了當前用戶名；當焦點在輸入框中時，跟隨輸入框在其后提示密碼復雜度要求的說明信息；驗證碼為小寫英文+數字。

二、SNS社區
1. 人人網


在本次觀察中人人網的密碼修改流程相對顯得比較特殊，它在修改密碼之前，給出了“身份驗證”的這一步，提供了驗證舊密碼、向注冊郵箱發送密碼重置郵件、賬號申訴三種方式。它對用戶的指引更為明確，當用戶在長時間記住密碼后遺忘了密碼，則能直接通過發送郵件的方式進行密碼修改，而不必退出登錄后再走取回密碼的流程。
2. 天涯社區


輸入舊密碼后，會實時檢查是否正確；焦點從輸入框中移開后會檢查有效性；焦點在新密碼的輸入框中時，會提示密碼的復雜度要求（強制要求字母與數字組合）；比較奇怪的是，為何這句“輸入6-16位的字母和數字的組合，密碼區分大小寫”會始終顯示在驗證碼輸入框的下方——這句話所針對的表單項對象究竟是新密碼還是驗證碼？這是一處不必要的困擾。
3. 豆瓣網


豆瓣網的密碼修改界面很簡單，甚至有些簡陋——沒有表單項的有效性驗證，甚至連密碼長度的說明都沒有給出。“當前密碼”與“新口令”的文案區別不知是否可以為之，個人認為還是統一為密碼比較好，雖然口令更顯Geek。
4. Facebook


Facebook在界面中并未給出密碼輸入的說明；對當前密碼項的為空時沒有提醒；當新密碼太短或太簡單時會給出提醒；也會提示重復輸入密碼與新密碼是否匹配。
三、微博
1. 新浪微博


提醒界面上以紅色高亮的方式告知用戶密碼安全的重要性；焦點移開時表單項會進行有效性驗證；特別給出安全強度標尺再次提醒用戶使用高強度的密碼；焦點選中時，會提示用戶密碼的長度說明。
2. Twitter


當表單項為空時不會給出提示；同Facebook一樣，在新密碼太短或過于簡單時會給出提示；舊密碼如果錯誤，點擊“Change”后會在頁面頂端顯示，與全站的統一反饋提示一致；需要留意的是，Twitter在修改密碼的界面給出了取回密碼的入口，點擊后會進入輸入郵箱取回密碼的頁面，這一點與人人網相類似。
四、搜索引擎
1. 百度


表單項沒有有效性驗證，給出了密碼長度等的說明，看下來這是一個比較標準并傳統的密碼修改界面。
2. Google


Google在驗證當前信息時，可以選擇輸入舊密碼或密碼提醒問題的答案；新密碼的強度都會給出提示，“Password strength”上附鏈接，點擊后新窗口彈出 Password Help 頁面，告知用戶如何設定一個安全的密碼；重復輸入密碼時不會實時檢查與新密碼的匹配。
五、電子商務網站
1. 支付寶


支付寶賬戶中，同時有登錄與支付兩種密碼，修改操作基本相同；它是這次體驗過程中，唯一將修改密碼的操作放置在浮動層中進行的網站；在浮動層中，給出了密碼安全提示說明；表單項均無有效性驗證提示；當用戶開通了數字證書而當前瀏覽器不支持時，可以通過綁定的手機進行校驗。
2. 京東商城


焦點移開時，會對表單項有效性進行驗證提醒；重復輸入密碼時也會檢查是否與新密碼一致；個人并不贊同在已紅色高亮的警示性文案后面再使用感嘆號，以避免給用戶造成過大的心理壓力。
3. 攜程網


表單項焦點移開時，會做有效性驗證；當表單填寫不正確時，將輸入框紅色高亮，而提示文字使用了相對弱的黃色背景呈現出來；密碼強度通過圖形標識來提醒用戶。
在看了以上國內外13個大型網站的密碼修改界面之后，我們可以發現：

• 密碼強度的設定，與網站業務息息相關，通常網站中出現與錢相關的業務（如網絡游戲等）時，對密碼的復雜度會有強制性的要求；支付寶等甚至會設定登錄密碼與支付密碼，并兩者不能相同。
• 對于舊密碼的驗證，通常只驗證是否為空，而不會對正確性做實時校驗；
• 對新密碼的強度，多數網站均會給出明確說明以降低用戶的困擾；
• 多數網站，均會特別提醒用戶新密碼中需要區分大小寫字母；
• 13個案例中，除了豆瓣網之外，均會對新密碼與重復輸入的新密碼之間做匹配校驗；
• 有3個網站在修改密碼時需填寫驗證碼，個人更希望將這一步放在幕后——系統智能判斷哪些情況下需要通過驗證碼進行增強驗證，而不是簡單地一刀切；
• 在修改密碼的界面上，同時告知用戶一些必要的密碼安全信息，是必要的；
• Google、Twitter與人人網的案例，告訴我們修改密碼的流程不是僵硬不變，并不一定要通過舊密碼來校驗用戶——這對常常使用“記住我”的用戶來說，無疑是一個便利；
• 在界面設計上，警示性提示的呈現，需要我們在提醒用戶與不冒犯用戶加以平衡：紅色高亮、紅叉圖標、驚嘆號、輸入框高亮等方法中選用哪些，值得考量；
• 大多數網站對登錄及通行證信息的修改均使用了SSL進行加密。

作者/恍惚之中

[快訊]天涯4000萬用戶明文密碼泄漏


@烏云-漏洞報告平臺：密碼事件的延續，是一個不好的消息，但知道真相總不知道要好 天涯社區4000W用戶明文密碼泄漏
據天涯網相關負責人介紹，此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶，據悉，天涯網目前共有6000萬注冊用戶，而此次泄漏的用戶數量達到總數的60%以上。
在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案，通過站內短信、Email等一切有效聯系手段通知用戶盡快修改個人密碼，同時也已經向公安機關進行了報案。
DoNews 12月25日消息（記者 盧林嘉）繼12月22日國內最大的開發者社區CSDN.NET的用戶密碼遭到黑客泄漏之后，25日下午國內知名的社區網站天涯網的用戶隱私也遭到黑客泄漏，據了解此次被泄漏用戶數量達到4000萬。
25日下午有網友向DoNews爆料稱國內知名社區網站天涯網被黑客攻擊，有4000萬用戶的密碼遭到黑客泄漏，與之前CSDN被泄漏的信息一樣，天涯被泄漏的用戶密碼全部以明文方式保存，但是數量之大的確令人乍舌。
記者在第一時間與天涯網取得聯系，據天涯網相關負責人介紹，由于歷史原因，天涯社區早期使用過明文密碼，2009年11月修改了密碼保存方式，改成了加密密碼，但部分老的明文密碼未被清理。此次遭到黑客泄漏的用戶便是2009年11月升級密碼保存方式之前所注冊的用戶，據悉，天涯網目前共有6000萬注冊用戶，而此次泄漏的用戶數量達到總數的60%以上。
天涯強調，2011年5月12日天涯網升級改造了天涯社區用戶賬號管理功能，使用了強加密算法，解決了天涯社區用戶賬號的各種安全性問題。
據了解，在得知用戶隱私遭黑客泄漏以后天涯網已經啟動應急預案，通過站內短信、Email等一切有效聯系手段通知用戶盡快修改個人密碼，同時也已經向公安機關進行了報案。（完）
附天涯社區致歉信：
尊敬的天涯社區用戶：
我們非常抱歉地通知您，近日由于遭受黑客攻擊，有多家網站的部分用戶數據庫外泄，天涯也是受害網站之一。為確保您的隱私及帳戶安全，在此，我們懇請您盡快修改天涯社區相關帳戶的密碼。請點擊以下鏈接重設密碼：http://passport.tianya.cn/fp/fp.jsp
如果您在其他網站也使用同一密碼，請務必同時修改更新。
目前天涯社區已向公安機關報案，公安機關也正在調查相關線索。
再次向您致以深深的歉意！
關于天涯社區用戶賬號被泄露的聲明：
由于歷史原因，天涯社區早期使用過明文密碼，此次被盜的數據為2009年之前的備份數據。2010年之后，我們升級改造了天涯社區用戶賬號管理功能，使用了強加密算法，解決了天涯社區用戶賬號的各種安全性問題。
如果我的天涯社區帳號已經被盜怎么辦？
1、使用取回密碼功能，通過注冊郵箱、認證手機或申訴的方式取回密碼。
2、撥打我們的7*24小時客服電話0898-68582666，由客服人員進行驗證之后取回密碼。
（以上轉自DoNews：www.donews.com/original/201112/1044644.shtm）


缺陷編號： WooYun-2011-03772
漏洞標題： 天涯社區4000萬用戶資料
相關廠商： 天涯社區
漏洞作者： Snow
提交時間： 2011-12-25
公開時間： 2011-12-25
漏洞類型： 用戶資料大量泄漏
危害等級： 高
自評Rank： 10
漏洞狀態： 未聯系到廠商或者廠商積極忽略
漏洞來源： http://www.wooyun.org
Tags標簽： 敏感信息未加密存儲
漏洞詳情
簡要描述：
天涯社區4000萬用戶資料泄露 賬號密碼郵箱明文保存，經驗證為有效數據，從一些途徑得知目前已經擴散，請廣大用戶和企業做好應急響應處理
詳細說明：
天涯社區4000萬用戶資料泄露 賬號密碼郵箱明文保存
下載地址：（已幫原作者做隱藏處理）
漏洞證明：




修復方案：
廣大用戶速度更改密碼吧
版權聲明：轉載請注明來源 Snow@烏云
漏洞回應廠商回應：
未能聯系到廠商或者廠商積極拒絕
漏洞Rank：20 (WooYun評價)

更多被披露的圖片：

@延朗不是延郎


@調調熊


@小咸魚兒


@結婚了沒


@小貓跑得快