“明文密碼”(Cleartext Password)，即傳輸或保存為明文的密碼。具體是指保存密碼或網(wǎng)絡(luò)傳送密碼的時(shí)候，用的是沒有隱藏、直接顯示的明文字符，而不是經(jīng)過加密后的密文。如密碼為123，那么密文密碼是***，明文密碼則是123。比如abc代表123，如果告訴你abc而不告訴你解碼規(guī)則，你就不能翻譯出真正的密碼123。

從信息安全的角度出發(fā)，任何網(wǎng)絡(luò)服務(wù)都不應(yīng)該保存或發(fā)送明文密碼。但至今仍有很多網(wǎng)站留有這類一旦被攻擊者入侵就會(huì)釀成災(zāi)難的安全隱患。密碼外泄門

2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。經(jīng)排查，金山毒霸員工疑為隱私泄露源頭，金山深陷“泄密門”。隨后，CSDN"密碼外泄門"持續(xù)發(fā)酵，天涯、世界佳緣等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。天涯網(wǎng)于12月25日發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露。

為什么國內(nèi)大網(wǎng)站明文保存用戶密碼

1.不用明文密碼沒法應(yīng)付檢查。大家知道互聯(lián)網(wǎng)審查，有時(shí)往往會(huì)一個(gè)電話過來，要XX用戶的密碼。如果你沒法給出，上頭就認(rèn)為你不配合，事情各種難搞。作為審查機(jī)構(gòu)的老板，當(dāng)然沒必要知道明文密碼的危害。他們只知道，我要密碼，為什么不行。所以，悲崔的程序員們就往往會(huì)得到一條死命令，保存明文密碼。

2.壓根不知道明文密碼有什么問題。中國的互聯(lián)網(wǎng)有太多的沒基礎(chǔ)的新人，從石頭的縫隙中頑強(qiáng)的生長出來。這不是壞事，壞事的是這些人往往會(huì)在一些基礎(chǔ)問題上出現(xiàn)奇怪的毛病。例如有些程序員，寫程序很快，但是居然從來不知道密碼明文存放會(huì)導(dǎo)致什么問題。更神奇的是，這些人中，有一家銀行…

3.自信暴棚的混帳。有些人的自信總比別人強(qiáng)，而且強(qiáng)在莫名其妙的地方。例如：我的服務(wù)器肯定是沒問題的，所以我的密碼一定要明文存放。如果不，就是質(zhì)疑我的技術(shù)。

實(shí)話說，這種人真是少數(shù)中的少數(shù)。

4.遺留系統(tǒng)。很多系統(tǒng)設(shè)計(jì)的時(shí)候因?yàn)槟硞€(gè)其他理由，使用了明文密碼。等后來這個(gè)理由不存在了，密碼系統(tǒng)升級(jí)成了一個(gè)困難。因?yàn)槊艽a系統(tǒng)太重要了，所以在沒有太大利益的情況下，總是傾向于不修改系統(tǒng)。但是有什么足夠利益來推動(dòng)系統(tǒng)修改呢?用戶安全問題在發(fā)現(xiàn)前不是一個(gè)問題——好比這次的CSDN，不是被暴出來的話就根本不會(huì)被當(dāng)作一個(gè)問題。系統(tǒng)的管理者，每個(gè)人都沒有足夠的動(dòng)力去修改系統(tǒng)。

5.世界的陰暗角落。有的時(shí)候，程序員/老板明文存放的理由，是為了方便盜竊用戶其他網(wǎng)站資料。例如我所知的某釣魚案例，你注冊(cè)網(wǎng)站，就提供很多免費(fèi)服務(wù)，網(wǎng)站看起來也很靠譜——除了后來突然爆出這家網(wǎng)站其實(shí)暗地中用你的生日/密碼猜解信用卡/銀行卡密碼，大家才突然發(fā)現(xiàn)，這家網(wǎng)站其實(shí)根本沒有在美國注冊(cè)，而是一個(gè)聽都沒聽說過的國家。

而且很多網(wǎng)站提供從其他網(wǎng)站導(dǎo)入之類的功能，更加的危險(xiǎn)。以前經(jīng)常爆出twitter密碼被竊取，主要就是因?yàn)镺Auth開放以前，twitter上的第三方應(yīng)用需要提供原生密碼，導(dǎo)致很多小應(yīng)用的目的其實(shí)就是收集密碼…

6.為了給用戶提供方便。這個(gè)理由和上一個(gè)很類似，不過不是為了某些險(xiǎn)惡的目的。而是客戶經(jīng)常要求——為什么我不能做XX事，為什么我不能blahblah。好吧，為了讓你能，我們就必須保存明文密碼。