继12月21日，有黑客在网上公开CSDN网站的用户数据库，导致600余万个注册邮箱账号和与之对应的明文密码泄露之后，本周一，又有天涯、腾讯QQ、人人、开心网等知名网站的用户称密码遭网上公开泄露。来自奇虎360的最新监测发现，目前网上公开暴露的网络账户密码超过1亿个。昨天，网络传言“泄密门”已经蔓延到银行。有网友爆料，传国内多家银行的用户数据已经泄露，涉及交行、民生银行和工行。上述三家银行昨日均在第一时间否认，表示保存在银行系统中的客户信息和密码是安全的，客户主动防范信息泄密风险最关键。

　　三银行：网络传闻不实

　　昨日网上出现的一张截图让不少银行客户惊恐不已：图中显示，打开的记事本中包含了9条信息，清楚地列出银行卡卡号、所属银行及姓名，还有被故意遮挡住大部分的密码。

　　这张图在网上快速传播，恐慌情绪不断蔓延。不过，传闻所涉及的工行、交行和民生银行昨日均在第一时间否认其客户信息被泄露。各家银行相关负责人一致肯定：黑客不可能从银行系统窃取客户信息。

　　工行相关部门负责人说，工行对于客户密码等重要信息采取了非常严格的措施来确保信息安全，在系统中对于客户密码的存储与传输均采用加密方式。网络传言中所谓泄露银行用户数据中所涉及的三张该行卡均为已注销的无效卡，且从相关文本数据结构含义上分析，其中包含了订单号(OrderId)等内容，可以判断信息不是来自银行数据库。

　　交行信息技术部总经理麻德琼昨日也表示，从网络截图的页面来看，显然不是银行的系统页面，况且银行的密码设置是全程硬加密的，不可能在银行外部的系统上显示。

　　中行省分行电子银行部总经理周姬昌说，银行对客户的密码是高度硬件加密的，银行自身也无法读出客户密码，更不可能被第三方公司窃取。比如，用户某张银行卡的密码是“123456”，经过硬件密钥加密、程序转换之后，可能最后得到的是“aE0@#Ω”等毫无意义和逻辑关系的密文。所谓不可逆，也即银行内部人士哪怕得到这个加密之后的密文，也无法倒推出“123456”密码。

　　一位资深计算机软件工程师也表示，目前我国的银行、网络运营商都是128位密码加密，要想破译非常难，除非遭到很严重的黑客攻击。

　　他表示，很多网站是由互相连接的个人计算机组成的集群系统，这些系统大多基于我们熟知的微软操作软件。换言之，黑客在攻破这些网站后，交由普通人也能操控和盗取用户信息。相反，银行系统相对封闭，其内核非但无法攻破，即便告知黑客系统密码，也不会操作。黑客所能攻击的是前端系统，比如模仿客户进行巨量重复操作，导致前端页面信息堵塞、瘫痪。

　　第三方支付无法截留银行卡信息

　　国内银行系统目前尚无被黑客盗取客户信息的先例，那么用户量极广的众多第三方支付是否会陷于危险境地？用户在网上支付过程中，第三方支付平台是否存在密码信息截留的可能？

　　银行人士说，目前第三方支付平台一般有两种方式，一种是小额的快捷支付，不需输入密码；一种是跳转到银行页面进行支付，第三方支付平台无法截留客户密码。工行相关人士也表示，在与第三方公司的电子商务合作中，涉及的密码信息均要求在该行系统页面上进行操作。

　　支付宝相关负责人表示，支付宝不在任何地方保存用户的密码明文数据，数据库中只保存用户密码的散列密文，确保任何人和程序都不可从该密码密文中恢复出明文密码。由于支付宝采用登录和支付双密码设置，能给账户提供有效的安全保护。对与日益流行的“线上刷卡”快捷支付，支付宝给予支付密码、手机验证码和数字证书多重保护，并承诺快捷支付被盗72小时全额赔付。

　　与银行普遍采用动态手机交易码或USB Key所不同的是，很多第三方支付大多是静态密码。有银行人士就担心，很多用户为方便记忆，很多网站或银行账户使用同一用户名和密码。本次网站泄密事件之后，不排除会有不法分子通过猜算来破解第三方支付账户的可能。

　　主动防范是关键

　　目前，涉及银行账户被盗刷和支取案件的，主要为犯罪分子在自助设备上加装采集器，或设置钓鱼网站窃取客户信息。银行专业人士提醒，只要有意识保护银行账户信息，就能有效防范泄密事件，平时在使用网银或者银行卡的时候，要注意以下几点：

　　一、使用专业版网银。使用带数字证书的专业版网银，或通过USB Key和动态密码，实现动态安全保护，基本就能防范被盗的风险。目前，安装数字证书都是免费的，USB Key也不贵，一个也就几十元，有了数字证书和USB Key，用户即使用户名、密码全部泄露，盗用者因为电脑没有证书和USB Key，也无法动用用户账号内的资金。

　　二、设置密码要动脑。不可设置简单数字排列的密码，如用生日日期、电话号码、身份证件号码等，密码不得少于8位数，采用各种符号穿插，并采用无意义组合，同时避免使用单词、派生词、衍生词，不同账户使用不同密码，定期更新个人密码。有网友从这次CSDN数据库被泄露的密码分析，统计结果显示有23.5万人用123456789做密码，还有741名浪漫人士用5201314520(我爱你一生一世我爱你)做密码。

　　三、网络支付防“钓鱼”。对于需要密码的非接触式网络在线交易，尽可能不在网吧、单位等公共网络上操作；不要随意登录不明网站，小心木马程序套取支付密码。使用电话或网络渠道预订机票、酒店时，尽可能选择知名度高、安全性强的特约商户进行交易，避免信息泄露。同时，应牢记银行官方网站(最好加入收藏夹)，以避免进入“钓鱼”网站。

　　四、大额资金莫闲置。如果持卡人有长期不用的大额资金存在银行卡里，可以选择定期存款、通知存款或者买货币基金等方式固化。如此一来，即便不法分子复制了银行卡，也无法盗刷。

　　五、开通短信通知。及时开通短信通知。目前绝大多数银行都有短信通知业务，收费在2-3元/月不等。但万一出现盗刷情况，持卡人可以根据短信通知及时发现并最大限度地减少损失。

　　六、拒绝裸机定期杀毒。除了上述方法之外，防盗也要从技术上防范：拒绝“裸机”，及时“升级”，定期“杀毒”。安装防火墙、杀毒软件；定期升级浏览器和操作系统，修补漏洞；定期查杀木马、病毒，在技术上增强自己的电脑防盗实力，不给黑客攻击制造机会。

　　据都市快报 记者 陈家林 朱文科