【大话IT】爆网易邮箱被破解官方否认乌云扇脸

abc3w

1、对于邮箱是否会定期修改密码的习惯？
视邮箱登录次数来更改密码, 频繁使用的, 常更改密码,不常使用的,改密码周期比较长.

2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
是, 可能相同的用户名,密码一定设置成不一样.

3、你们公司邮箱是自建还是采用商业邮箱？
由于内部邮件流量巨大, 因此自建.

4、对于企业邮箱安全你们都采取了哪些措施？
防火墙+安全网关+邮件安全插件+敏感关键字过滤(例如,内容包含"密码"&超链接,则生成提醒邮件)

5、对于网易此次事件你有什么看法？
个人还是很认同网易,不做过多解释,清者自清.

qinyiwang

1、对于邮箱是否会定期修改密码的习惯？
没有这个习惯，感觉自己很久没有改邮箱密码了。
2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
就一些不同一些还是一样的，存在撞库风险。
3、你们公司邮箱是自建还是采用商业邮箱？
自建的，而且是强制定期改密码的。
4、对于企业邮箱安全你们都采取了哪些措施？
过滤一些危险扩展名的附件，防垃圾邮件
5、对于网易此次事件你有什么看法？
还是存在问题，其实每家的产品都或多或少有安全隐患的，道高一尺魔高一丈，世界上无绝对安全的

rickcafe

讨论话题：
1、对于邮箱是否会定期修改密码的习惯？

不会，因为太麻烦。
但会把邮箱的用途分开，各个公司的邮箱用各个公司的业务（我为什么会有多个公司的邮箱？嘿嘿，不告诉你了），个人邮箱用个人业务。

2、你是否会对每一个账户拥有一组密码，避免撞库威胁？

不会，还是因为太麻烦。
太多密码，自己都记不住，虽然我有专门的文档管理所有帐号和密码，但还是懒得一一去记。

对于撞库这事，实在是没办法了。还是建议邮箱用途分开，帐号名称分开，这样就不容易撞了。

3、你们公司邮箱是自建还是采用商业邮箱？

商业邮箱。中小企业自建太麻烦，费用高，还得养个人维护，性价比，可靠性，安全性都不行。商业邮箱简单多了，足以适应小企业要求。

4、对于企业邮箱安全你们都采取了哪些措施？

应该没啥安全措施。除了管理员记住管理员帐号外。
完全依赖于邮箱服务商的安全水平了。

另外，对于个人邮箱，建议加入手机认证或其它安全邮箱的认证，这样被盗了还能找回来。

5、对于网易此次事件你有什么看法？
悲哀，网易是国内最大的邮箱服务商，很多公司用的就是用他们的，很多个人邮箱也是用的他们的。我最早的个人邮箱也有网易的，出了安全问题让人感觉很可怕，很烦恼，希望网易亡羊补牢，尽快解决，不要回避。

当年CSDN、天涯被人拖库，用户帐号泄露，搞得我到处改密码，烦死了；现在网易又来一遍，实在不胜其烦，好在我不是国家领导，不是大老板，还没什么特别重要的信息值得人家看。

ynp826

讨论话题：
1、对于邮箱是否会定期修改密码的习惯？
习惯是不可靠的行为，必须设置定期强制改密码的策略，同时设置禁止重复使用的次数，比如设置密码是禁止与前三次设置的密码相同。

2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
会，目前没有哪些注册帐号使用的密码相同。为了便于记忆，使用了相同的策略。比如：I10ve+it168，I10ve+163等等。

3、你们公司邮箱是自建还是采用商业邮箱？
我们是自建邮箱。

4、对于企业邮箱安全你们都采取了哪些措施？
首先从互联网出口的架构上，要有由层异构防火墙隔离出DMZ区域，将邮箱的webserver置于DMZ区，将APPserver置于内网防火墙后面。在DMZ区的SSL网关后面、webserver前面署防毒墙、IPS等流量检测设备，清洗SSL卸载后的明文。同时部署垃圾邮件防火墙，避免垃圾邮件攻击。

5、对于网易此次事件你有什么看法？
第一、这是个危机公关问题，掩盖伤疤被人打脸。
第二、系统防护的再严密，也有可能被人拖库，但是如何设置数据库中的内容，是可以降低拖库后的损失。比如，将密码分段保存，分库保存等等。或者密码乱序后加密，而严格保存乱序算法。
第三、建立蜜罐，做假库。
第四、对于普通用户，要求使用双信道认证方式，除了账号密码外，增加短信认证码，不要给网易省钱。

20032007

1、对于邮箱是否会定期修改密码的习惯？

没有，尤其是常用邮箱，更是不会随意修改，银行卡、支付宝等密码已经够多够费劲了，需要输入密码的地方也太多了，就算有修改密码的意识，也难以实施啊，一旦修改后忘记了怎么找回也是麻烦事。


2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
对于个人认为重要的账户，会有意识的单独设置密码，这些密码之间有一定的规律，对于直接的撞库可能有效，但一旦大数据分析工具成熟并精细以后，这种规律很容易被发现。。。

3、你们公司邮箱是自建还是采用商业邮箱？
自建内网邮箱，但多数情况下还是采用大众常用的免费邮箱，比较IM工具太好用了，太普遍了，以至于邮箱的功能在很大程度上被遗忘了。

4、对于企业邮箱安全你们都采取了哪些措施？
强制使用强密码，强制定期改密码，这些措施保障了安全，但实施过程中怨声载道，鱼和熊掌不可兼得啊

5、对于网易此次事件你有什么看法？
难道密码真的是明文保存？
密码是否一定要明文保存？

我赞同好产品应该是有偿的，但是，是否有偿了就能得到回报？
曾经免费邮箱是网络的标志，然后一夜之间忽然所有的邮箱都收费了，再过了一段时间忽然所有的邮箱又都免费了，大众真的是实验品。如果可以，尽量为重要的服务选择收费的服务吧。

woxizishen

1、对于邮箱是否会定期修改密码的习惯？
定期修改有用，但是很难有人坚持。密码安全性我觉得是很重要，密码过于简单无论是暴力破解还是字典攻击都是很容易就破解到你的密码。最好密码长度达到12位以上，用英文+特殊符号+数字组合。


2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
没必要，只要不把所有账号统一成一个密码就好。重要的网银支付或绑定的邮箱密码要设定成独特的密码，其他不重要的可以随便设。


3、你们公司邮箱是自建还是采用商业邮箱？
自建邮箱，我每天看到记录，都有ip不停的尝试破解，最高的时候一天破解6000多次，因为邮箱密码安全性本身最开始的时候就要求严格，所以你不远程破个白八十年，是破不了的。当然有出现过用户自己的移动设备或电脑中毒造成邮箱密码被盗的问题。其实现在也有很多方案可以防止这种暴力破解，让某一ip尝试登陆几次就屏蔽他。


4、对于企业邮箱安全你们都采取了哪些措施？
1.定期修改密码，并且要求密码设定的足够复杂
2.不允许把公司的邮箱注册到论坛或社区上，能避免很多骇客收集邮箱账号进行针对性破解，这条相当重要！没管过邮箱的是不会明白的。
3.公司内部邮箱活动目录服务器进行同步传输全部用TLS加密，并且只允许使用加密端口才能访问，早起未用TLS加密，经常用户的账号泄露出去，前端第一台过滤器收到很多垃圾邮件，虽然用户收不到，但是会给前端过滤器增大工作负荷。


5、对于网易此次事件你有什么看法？
1.我的网易邮箱经常被盗，网易自身问题我就不想多说了，网易邮箱安全性说实话，还比不过已经淘汰的雅虎邮箱(见鬼了前端时间看新闻雅虎又回来了)
我测试过邮箱直达软件，网易，新浪，qq都能够轻易的被直接投递进垃圾邮件，而雅虎是唯一拦截这种类型邮件的邮箱，其实拦截方法很简单就是通过message id。
2.此次事件只是暴露出网易邮箱本身就不是他们自己开发的，他们最多开发前端WEB界面，而系统层面是通过第三方承包的，所以安全漏洞都是第三方把控，国内除网易还有新浪等等邮箱都是这个第三方开发的，是谁我就不说了，自己百度去搜。网易应该重新审核第三方邮箱的安全性问题。国内大部分邮箱都是基于postfix开发的。

jszxcyit

1、对于邮箱是否会定期修改密码的习惯？
暂时没有，只是发生一次泄密之后才有意识，这一个习惯不是很好、

2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
没有

3、你们公司邮箱是自建还是采用商业邮箱？
自建+商业两种

4、对于企业邮箱安全你们都采取了哪些措施？
主要还是防火墙限制

5、对于网易此次事件你有什么看法？

     在这件事上，首先从表面上看，是上司与下属在工作上冲突的问题，其本质上来说，本是一件很小的事情，但由于双方的不克制，导致该事件的无限升级，成为影响整家公司的一个邮件门事件。
     起因，很简单，在公司下班时间内，作为秘书的瑞贝卡没有咨询老板的动向，而按照正常程序把门关了。于称职而言，瑞贝卡可能有所欠缺，但于程序而言，瑞贝卡并无过错。因此，在此事件上，陆纯初不但出口伤人，而且未经对方同意，仅按照个人意愿扩大了瑞贝卡的职责范围，这首先就是一种违约行为，他违反了当初劳动合同的签订。瑞贝卡不是全公司所有经理的秘书，她的职责范围的扩大必须得到她本人的同意，而且任何加班行为都必须事先征得当事人的同意，这在劳动法当中有如下相关的规定：在一般情况下，加班是要得到劳动者的同意的，但是法律也规定以下四种情况的加班是必须的，不要征求劳动者的意见。
     很显然，瑞贝卡的错误仅仅是没有更好地做好她的本分工作而已，其错，虽是起因，但不是决定性，违反法律或者公司章程的错误。同样，作为一名企业的管理人，离开自己的岗位，哪怕自己是最高负责人，你也必须有去向的交代。因为作为管理者，你不仅仅代表的是个人，同时也代表着整家公司，因此，当你不在工作岗位上的时候，有必要交代自己的去向。因此，在陆纯初去向不明的这件事上，双方都各有责任。而作为管理者的陆纯初，抱有的是一种官本位的思想。以此为借口，肆意攻击下属，并把事情扩大化。因此他才是邮件门时间的肇事者。然后事情继续发展，瑞贝卡同样不冷静，将回复邮件以中文形式发送到全大陆地区，这使得事情进一步升级，也是导致她后来失去工作的一个重要原因。
     对整个邮件门事件，我是这样认为的。在这个事件上，双方彼此都有不足的地方。双方的不冷静是造成本事件的关键。因为工作中日常的冲突肯定会有，但双方的冲动是造成该事件的关键。而作为一家公司一旦出现问题，首先承担责任的就应该是领导，因为作为一个公司的管理负责人，没有协调好公司各员工的工作，就是管理者的失职。作为企业最高的管理人员，撤裁掉陆纯初是正确的选择，因为他对公司造成的损失是不可估量的

shenlanyouyu

1、对于邮箱是否会定期修改密码的习惯？
偶尔会改改，公司会OA系统和邮箱绑定在一起，定期会提示修改，否则无法登陆。
2、你是否会对每一个账户拥有一组密码，避免撞库威胁？
不同的邮箱设置有不同的密码。
3、你们公司邮箱是自建还是采用商业邮箱？
采用outlook自建邮件服务器。
4、对于企业邮箱安全你们都采取了哪些措施？
(1) 公司网络和外网间有防火墙，专业的IT服务团队，安全性能够保护。
(2)在公司外部登录邮箱，登录限定为公司专门的出差电脑，IT会做一些安全设定。
(3)在家登录时，需要使用专门电脑客户端访问，此项服务需要申请才能开通。
5、对于网易此次事件你有什么看法？
其实国家互联网应急中心证实确有网易邮箱数据遭泄露，泄露的数据中包括邮箱账号、邮箱密码的MD5、密保问题以及密保答案的MD5。泄露信息包括用户密码提示问题及答案，而这些数据应该是撞库无法获取的。个人觉得网易是怕打脸，硬撑脸皮不承认。很多APPLE ID被锁定，网易邮箱泄密脱不了关系。我认为通过这次事件应该吸取教训从以下方面来改进:
(1)需在立法层面建立更加细化、严格的行业管理标准。相关法律法规也应建立起更为严格的保护制度，对于窃取和传播网络加密数据的犯罪分子应该给予严惩。
(2)加强网络安全信息收集、分析和通报工作，加强监管部门与互联网平台数据管理之间的联系。
(3)企业要有为用户负责的态度，加强安全防范体系建设。很多互联网企业在相应的数据安全方面没有跟上发展节奏，导致信息监管出现漏洞等“非主观”因素的失误。
(4)用户应该提高安全警惕性，比如登录密码与交易支付账号密码不要相同，密码设置应复杂一些。其次，各种移动终端偶尔会有钓鱼网站，收到一些莫名其妙短信和链接时，注意不要轻易点开。对于APP要谨慎下载，去正规APP市场下载。

rickcafe

讨论话题：

首先要谴责一下网易，害得我又改密码，烦死人了。

1、对于邮箱是否会定期修改密码的习惯？

没这习惯。主要是自己还不是大人物，信息没那么重要。

2、你是否会对每一个账户拥有一组密码，避免撞库威胁？

不会，太麻烦了，我有十几个邮箱，如果各自使用不同的密码，全记在小本中，还是很麻烦。

3、你们公司邮箱是自建还是采用商业邮箱？

商业的，就是网易的邮箱。

4、对于企业邮箱安全你们都采取了哪些措施？

没安全措施，全靠网易了。

5、对于网易此次事件你有什么看法？

安全这事，等这事件爆发出来，不知道已经损失多少了。

所以大家可能亏大发了，但也没办法，谁让大家使用免费的，或廉价的东西呢？

所以大家对使用公有云，心有余悸，是可以理解的，那要是安全出了问题，可能是连锅端的。