一般来说，像银行、金融服务或者其它类型的网站采用了有问题的密码策略，比如只允许6-8位密码、大写字母密码小写也可以登录、电子邮件回复明文密码等，这样的网站我们大多不会去讲，因为实在说不过来，而且也有@PWTooStrong 这样专门讲账号安全策略的推特。

但是，最近我看到一个网站的账号安全做得实在太糟糕了，让我没法不吐槽。它是Greyhound.com，属于北美最老牌的城际巴士运营商Greyhound所有，1914年成立，网站提供预定和管理行程等功能。这个网站完全没有账号安全意识，允许最少4位密码（包括1234），当用户忘记密码时，网站以邮件明文告知密码。这意味着Greyhound.com在数据库中很大可能没有加密密码，而是以明文形式存储的。

Greyhound.com的找回密码邮件

更糟糕的是，Greyhound.com没有修改密码功能。一旦账号密码泄漏，那么这个账号几乎肯定就是永久性泄漏了，用户没有任何办法。在上周，我向Greyhound官方联络人说明密码哈希存储和密码重置的重要性，并询问对方是否有计划后续改进。对方回复说：

如您所说，我们将在后续规划中解决这些问题。但是需要说明，在我们网站进行购票时，用户的付款信息任何时候都不会泄漏。

这家公司看起来还是不明白，很多用户会在多个网站账号上使用相同密码。以明文形式存储密码，等同于把用户的所有同密码账号都置于险境之中。而且还不提供修改密码的途径，真是神级疏忽。

除非Greyhound官方将这些最基本的安全问题改进，否则在上面的用户信息可能都有危险。建议用户考虑删除Greyhound账号里的所有数据，并将邮件地址改为不存在的邮箱，如[email protected]。这也是目前唯一能关闭Greyhound账号的方法了。