駐馬店市第二人民醫(yī)院 黃杰

前幾天，朋友出現(xiàn)了密碼被盜的現(xiàn)象，而且是批量地被盜走，注冊(cè)的很多個(gè)不同的網(wǎng)站密碼同時(shí)被盜，有感于普通人對(duì)密碼的意識(shí)比較淡薄，所以本文科普一下黑客盜號(hào)常用的手段以及普通人保護(hù)自己密碼安全所能做的安全措施。

密碼是怎樣被黑客盜取的？首先，賬號(hào)被盜取，第一個(gè)懷疑的就是電腦被中木馬的問(wèn)題，黑客通過(guò)在個(gè)人電腦中植入木馬，可以利用鍵盤(pán)記錄，釣魚(yú)等方式來(lái)實(shí)現(xiàn)對(duì)密碼的盜取。但是檢查電腦后并沒(méi)有發(fā)現(xiàn)任何木馬，很明顯通過(guò)木馬的方式盜取他們賬號(hào)的可能性不大。

既然不是自己的電腦有問(wèn)題，那么很可能就是曾經(jīng)注冊(cè)過(guò)的網(wǎng)站被人“拖庫(kù)”，這里解釋下拖庫(kù)，所謂“拖庫(kù)”就是網(wǎng)站的用戶(hù)數(shù)據(jù)被人用SQL注入或者其它手段盜取，得到了這個(gè)網(wǎng)站的用戶(hù)名、密碼信息，很多知名網(wǎng)站都發(fā)過(guò)“拖庫(kù)”事件，如CSDN、天涯、小米等，黑客間將拖下來(lái)的庫(kù)進(jìn)行交換、集中，就形成了一個(gè)又一個(gè)所謂的“社工庫(kù)”，社工庫(kù)中存放了很多個(gè)被“拖庫(kù)”網(wǎng)站的帳號(hào)密碼信息。

其實(shí)很多朋友還都有這樣一種習(xí)慣，就是為了方便記憶，都會(huì)把所有網(wǎng)站的賬號(hào)都用一個(gè)相同的賬號(hào)和密碼注冊(cè)，無(wú)論是小論壇，還是像京東，天貓這樣涉及財(cái)產(chǎn)的商城。這種做法是很不安全的，一旦其中一個(gè)網(wǎng)站淪陷，所有的帳號(hào)都將危險(xiǎn)。特別是隨著2011年CSDN數(shù)據(jù)庫(kù)泄露事件之后，越來(lái)越多網(wǎng)站的數(shù)據(jù)庫(kù)出現(xiàn)泄露的事情，而且這些被泄露的數(shù)據(jù)庫(kù)都能夠在網(wǎng)站上隨意找得到。大家可以想一想，在你的賬號(hào)密碼都相同的情況下，通過(guò)以上的步驟，就可以輕易地知道你上過(guò)什么大學(xué)（學(xué)信網(wǎng)）、做的什么工作（前程無(wú)憂(yōu)、智聯(lián)）、買(mǎi)了什么東西（京東、淘寶）、認(rèn)識(shí)什么人（云通訊錄）、說(shuō)過(guò)什么話(huà)（QQ、微信）

上面所說(shuō)，并非危言聳聽(tīng)，因?yàn)楝F(xiàn)實(shí)中存在太多可以“撞庫(kù)”的網(wǎng)站，也存在很多黑產(chǎn)大規(guī)模“洗庫(kù)”、“撞庫(kù)”、“刷庫(kù)”的例子。這里解釋下這幾個(gè)名詞，在通過(guò)“拖庫(kù)”取得大量的用戶(hù)數(shù)據(jù)之后，黑客會(huì)通過(guò)一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶(hù)數(shù)據(jù)變現(xiàn)，這通常被稱(chēng)作“洗庫(kù)”，最后黑客將得到的數(shù)據(jù)在其它網(wǎng)站上進(jìn)行嘗試登陸，叫做“撞庫(kù)”，因?yàn)楹芏嘤脩?hù)喜歡使用統(tǒng)一的用戶(hù)名密碼，“撞庫(kù)”往往收獲頗豐。

為了保護(hù)大家的密碼，在這里給大家一些密碼的建議，

一、定期修改自己的密碼；

一、重要網(wǎng)站的賬號(hào)密碼和非重要網(wǎng)站的賬號(hào)密碼一定要分開(kāi)，如天貓、京東等涉及金錢(qián)的，最好做到賬號(hào)密碼都不一樣；

三、密碼具備一定的復(fù)雜度，如超過(guò)8位，包含大小寫(xiě)及特殊符號(hào)，為了方便記憶，可使用專(zhuān)門(mén)的密碼軟件管理自己的密碼，比較著名的有1Password、KeePass等；

希望通過(guò)以上的內(nèi)容，能夠讓大家對(duì)密碼安全有一個(gè)更好的認(rèn)識(shí)，從而更好地保護(hù)自己的個(gè)人隱私和財(cái)產(chǎn)安全。