在Friend Finder Network的4億用戶賬戶泄露事件后，專家開始對密碼安全的方方面面進行大討論。

2016年最大宗的數據泄露案件使得超過4億用戶賬戶遭到泄露，引起了行業專家們圍繞密碼安全最佳實踐的大討論。

Friend Finder Network由一系列相親和成人娛樂網站組成，包括AdultFriendFinder以及Penthouse在內的網站在十月份遭到攻擊，導致了六個業務域內的超過4億1千2百萬用戶賬戶遭到泄露，其中包括用戶賬戶密碼、電子郵件地址以及最近一次登陸的IP地址，泄露的數據中還包括將近一千六百萬用戶已經刪除的卻未從服務器清除的數據。

上個月推特上一位名為1x0123的黑客發布了AdultFriendFinder的網站截圖顯示，一份本地文件中包含的漏洞，允許攻擊者將位于服務器上的文件打包到某一特定應用程序的輸出之中，目前該用戶的賬號已經被凍結。

在Friend Finder Network(FFN)被曝光的超過4億份用戶賬戶中，大約1.256億份用戶賬戶的密碼存儲在純文本中，2.82億份用戶賬戶的密碼是用過時的SHA-1算法加密的，如谷歌、Mozilla以及微軟等公司已經停止使用或不推薦使用此種算法。

Digital Shadows公司負責企業網絡安全意識戰略的副總裁Rick Holland表示，賬戶的非法交易、釣魚攻擊以及由此產生的勒索犯罪，僅僅是此次數據泄露事件中企業員工必須面對的風險的一部分。“從成人交友網站泄露的憑據，使得網絡罪犯向潛在的受害者進行敲詐時得心應手。

大多數用戶希望對這些服務保持匿名，不想讓他們的公司或家人知道”，Holland告訴本站，“其中絕大部分的憑據會被用于勒索的目的，相關公司應主動監控與公司帳戶相關的憑證轉移存儲，并做強制要求更改密碼，即使這些憑證并沒有在事件中被泄露。”其他專家也發表了自己的觀點，企業應該從這樣巨大的數據泄露事件中警惕密碼的安全性。

Alert Logic的首席安全顧問Stephen Coty認為，企業不應該只關注自己業務域是否是在事件中遭到泄露。

Coty告訴本站：“這是公司要求重置密碼的絕佳機會。

因為任何人能夠將這份數據下載下來，到相應的網站上使用賬戶登錄，然而可能都會想到的是，那些使用個人郵件地址的用戶在其他地方也會使用相同的密碼。”IOActive公司的咨詢服務總監Daniel Messier認為，用戶們應該對所有在線賬戶的密碼安全有所防范，“應該更進一步，積極地為用戶提供有關賬戶安全的通知，告訴用戶他們應該保護好自己在本站和其他站點的密碼安全”，Messier說道，“在這一角度上來看，密碼過弱和隨意分享是互聯網安全的一項主要問題。”Imperva的CTO Amichai Shulman告訴本站他并不同意其他專家的觀點，他認為強制密碼重置會(對用戶)造成麻煩。“如果每次發生大的泄漏事件，我們都重置一次密碼，將會陷入每天都需要操作的窘境，因此除非了解到我的很多客戶都受到了不良影響，否則我不會采取如此激進的措施”，更好的辦法是當我們確信某些用戶已經受到不良影響時，應該考慮向他們發送一份提示信息。

加密透明度FNN用來加密用戶數據的SHA-1算法已遭到嚴厲地批評，然而專家們并不認同將網站加密所使用的方式透明化的觀點。“我認為他們應該透明。

這將迫使網站必須遵守行業規則”，Coty說，“缺點可能會使潛在的攻擊者知道你所使用的加密方法，然而這就一定就不好嗎?(黑客)也許會得出要破解這些加密數據過于浪費時間而必須放棄的結論。”Kevin Bocek是Venafi公司負責安全策略與威脅情報的副總裁，他認為業務合作伙伴和用戶應該知曉網站加密其信息所使用的加密方式。

Bocek告訴本站，“公司和政府部門應該敢于宣布自己在保護客戶數據安全方面所采用的加密等級和保護措施。

但是，相反的是公司往往承認他們所使用的是較低級別的安全措施，并承受著較高的風險。

許多公司并不知道自己是否徹底根除了SHA-1有關的漏洞，不幸的是，如果未來幾個月瀏覽器最終決定停止對SHA-1的支持，他們將會學到寶貴的一課。”Shulman說如果用戶不了解技術，透明度并不會有所幫助。“在我的信息安全職業生涯中，我還未遇到過因為使用了較弱或過時的摘要算法造成用戶流失的情況”，Shulman說道，“還有，大多數用戶并不了解摘要算法是什么以及它為何要用于進行密碼保護。”Messier說除非密碼安全關乎企業利益，否則算法透明度不會有所幫助。“(透明度)對于任何網站來說，都無法幫助他們找出并溝通自身的保護策略，使用難以破解的算法也是同理”，Messier說，“大多數情況中的問題只是公司沒有將安全重視起來，而不是沒有聘請正確的專家，也并非沒有給予這些專家執行必要變更的充分權力。”LeakedSource.com一篇FNN泄露密碼事件的分析文章，收集和分析了泄露的數據，發現有超過兩百萬密碼實例中，或者采用連續的字母，如“QWERTY”或“QWERTYUIOP”，或者干脆使用單詞“password”。

許多專家表示如果采用密碼管理器將可以很大程度上提升密碼安全。“你需要經常培訓用戶并提醒他們密碼安全的重要性，采取增強的IT策略經常變更或升級密碼”，KnowBe4公司CEO Stu Sjouwerman告訴本站，“且采用密碼管理器便無需記錄那些復雜的的密碼，幫助用戶輕易保障安全。”Coty說用戶無需嘗試記住復雜的密碼以及有關的詞句。“我們需要開始思考詞句和密碼安全，我們需要更加聰明的密碼”，Coty說，“如果是個牛仔迷，你可能會使用‘Wh0 Misses D@n M@rino Number 16’作為密碼，將o替換為0，a替換為@——使用錯誤的人名和數字來額外提升復雜度。

無需考慮那些復雜的難以記憶的密碼，記住那些來自電影、書本、哲學家或政治事件中的詞語并稍加改動就可以。”Fideps Cybersecurity公司威脅系統的兩位管理人員Bocek和John Bambenek說，業界需要遏制對于多因素驗證密碼的追求。“有些工具已經實施，用來要求用戶使用更加復雜的密碼”，Bambenek告訴本站，“然而，我們也注意到更加復雜的密碼需求的同時，用戶規避要求的技巧也在提高。

密碼可能是曾經使用過的驗證方式里最糟糕的一種。