駐馬店市第二人民醫(yī)院 黃杰

前幾天，朋友出現(xiàn)了密碼被盜的現(xiàn)象，而且是批量地被盜走，注冊(cè)的很多個(gè)不同的網(wǎng)站密碼同時(shí)被盜，有感于普通人對(duì)密碼的意識(shí)比較淡薄，所以本文科普一下黑客盜號(hào)常用的手段以及普通人保護(hù)自己密碼安全所能做的安全措施。

密碼是怎樣被黑客盜取的？首先，賬號(hào)被盜取，第一個(gè)懷疑的就是電腦被中木馬的問題，黑客通過在個(gè)人電腦中植入木馬，可以利用鍵盤記錄，釣魚等方式來實(shí)現(xiàn)對(duì)密碼的盜取。但是檢查電腦后并沒有發(fā)現(xiàn)任何木馬，很明顯通過木馬的方式盜取他們賬號(hào)的可能性不大。

既然不是自己的電腦有問題，那么很可能就是曾經(jīng)注冊(cè)過的網(wǎng)站被人“拖庫”，這里解釋下拖庫，所謂“拖庫”就是網(wǎng)站的用戶數(shù)據(jù)被人用SQL注入或者其它手段盜取，得到了這個(gè)網(wǎng)站的用戶名、密碼信息，很多知名網(wǎng)站都發(fā)過“拖庫”事件，如CSDN、天涯、小米等，黑客間將拖下來的庫進(jìn)行交換、集中，就形成了一個(gè)又一個(gè)所謂的“社工庫”，社工庫中存放了很多個(gè)被“拖庫”網(wǎng)站的帳號(hào)密碼信息。

其實(shí)很多朋友還都有這樣一種習(xí)慣，就是為了方便記憶，都會(huì)把所有網(wǎng)站的賬號(hào)都用一個(gè)相同的賬號(hào)和密碼注冊(cè)，無論是小論壇，還是像京東，天貓這樣涉及財(cái)產(chǎn)的商城。這種做法是很不安全的，一旦其中一個(gè)網(wǎng)站淪陷，所有的帳號(hào)都將危險(xiǎn)。特別是隨著2011年CSDN數(shù)據(jù)庫泄露事件之后，越來越多網(wǎng)站的數(shù)據(jù)庫出現(xiàn)泄露的事情，而且這些被泄露的數(shù)據(jù)庫都能夠在網(wǎng)站上隨意找得到。大家可以想一想，在你的賬號(hào)密碼都相同的情況下，通過以上的步驟，就可以輕易地知道你上過什么大學(xué)（學(xué)信網(wǎng)）、做的什么工作（前程無憂、智聯(lián)）、買了什么東西（京東、淘寶）、認(rèn)識(shí)什么人（云通訊錄）、說過什么話（QQ、微信）

上面所說，并非危言聳聽，因?yàn)楝F(xiàn)實(shí)中存在太多可以“撞庫”的網(wǎng)站，也存在很多黑產(chǎn)大規(guī)模“洗庫”、“撞庫”、“刷庫”的例子。這里解釋下這幾個(gè)名詞，在通過“拖庫”取得大量的用戶數(shù)據(jù)之后，黑客會(huì)通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶數(shù)據(jù)變現(xiàn)，這通常被稱作“洗庫”，最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登陸，叫做“撞庫”，因?yàn)楹芏嘤脩粝矚g使用統(tǒng)一的用戶名密碼，“撞庫”往往收獲頗豐。

為了保護(hù)大家的密碼，在這里給大家一些密碼的建議，

一、定期修改自己的密碼；

一、重要網(wǎng)站的賬號(hào)密碼和非重要網(wǎng)站的賬號(hào)密碼一定要分開，如天貓、京東等涉及金錢的，最好做到賬號(hào)密碼都不一樣；

三、密碼具備一定的復(fù)雜度，如超過8位，包含大小寫及特殊符號(hào)，為了方便記憶，可使用專門的密碼軟件管理自己的密碼，比較著名的有1Password、KeePass等；

希望通過以上的內(nèi)容，能夠讓大家對(duì)密碼安全有一個(gè)更好的認(rèn)識(shí)，從而更好地保護(hù)自己的個(gè)人隱私和財(cái)產(chǎn)安全。