詳細(xì)了解熱門信息、游戲技術(shù)、數(shù)字評(píng)價(jià)、科普心得，點(diǎn)擊右上角關(guān)注我們

-

2013年，一家企業(yè)因?yàn)槊艽a保護(hù)意識(shí)不高而遭受密碼泄露的痛苦，整天在IT圈流傳著決定更改企業(yè)所有密碼的傳說，包括所有路由器、服務(wù)器、數(shù)據(jù)庫(kù)、ISP帳戶、計(jì)算機(jī)、甚至語音郵件。

在這家企業(yè)大規(guī)模更改之后，眾多業(yè)界巨頭中的程序員便紛紛響應(yīng)，包括三星、微軟、宏碁等大廠。人們將每年的這一天——五月份第一個(gè)星期四稱為世界密碼日。

今天就是第八個(gè)世界密碼日，盡管人們對(duì)于隱私越來越重視，但由于密碼泄露導(dǎo)致的損失卻進(jìn)一步擴(kuò)大。根據(jù)Juniper Research的調(diào)查，2011年，平均每次密碼泄露上面的損失為550萬美元，而到了2020年，平均損失額超過了1.5億美元。

今天，小雷就借著世界密碼日的機(jī)會(huì)，來給大家說一堂“密碼課”。

糟糕的密碼管理

讓我們拋開密碼的防護(hù)問題，首先要承認(rèn)一點(diǎn)的是，我們很多人從一開始的密碼編寫就做得遠(yuǎn)遠(yuǎn)不到位。

首當(dāng)其沖的問題就是密碼設(shè)置過于簡(jiǎn)單。在2013年的世界密碼日上，管理機(jī)構(gòu)就公布了“最容易被攻破的密碼清單”，123456、111111等“經(jīng)典密碼”赫然在目。

而糟糕的是，123456哪怕到今天，依然穩(wěn)坐最簡(jiǎn)單密碼的第一名，而其余的密碼，也都是稍微嘗試下，就可以輕松竊取的用戶密碼。

根據(jù)統(tǒng)計(jì)機(jī)構(gòu)SplashData的估計(jì)，從一份包含500萬個(gè)泄露的賬號(hào)清單進(jìn)行統(tǒng)計(jì)，僅“123456”就有3%的用戶使用過，而前25名密碼的總使用人數(shù)加起來超過10%，達(dá)到了50萬人。

繼密碼設(shè)置過于簡(jiǎn)單的問題后，下一個(gè)致命要素則是同一密碼多處使用。例如銀行卡密碼和手機(jī)解鎖密碼都是同樣的六位數(shù)，所有網(wǎng)絡(luò)賬戶都用同一套密碼等。

這種密碼設(shè)置的方式，很容易遭到黑客的“撞庫(kù)”。黑客只需要拿到一個(gè)網(wǎng)站的用戶賬戶和密碼，就將其寫入一個(gè)字典表中并上傳到相關(guān)論壇。其他黑客就可以在其他網(wǎng)站上進(jìn)行暴力試錯(cuò)，曾經(jīng)iCloud的“艷照門”就是被部分黑客用其他網(wǎng)站泄露的密碼“撞庫(kù)”導(dǎo)致的。

在今年的3月份，新浪微博就被曝光有5.4億用戶數(shù)據(jù)泄露。在調(diào)查之后，新浪微博發(fā)布公告稱，黑客不是通過攻破新浪數(shù)據(jù)庫(kù)來進(jìn)行信息竊取，而是用其它網(wǎng)站上的電話號(hào)碼搜索+相同密碼撞庫(kù)來進(jìn)行匹配。

個(gè)人隱私的雙刃劍：電話號(hào)碼

在日益嚴(yán)重的密碼竊取事件中，電話號(hào)碼成為了黑客們的新目標(biāo)。尤其是通過電話號(hào)碼登陸的社交類app，更是個(gè)人隱私泄露的重災(zāi)區(qū)，部分網(wǎng)站的密碼找回機(jī)制，就能鎖定用戶的電話號(hào)碼，你也可以在無良網(wǎng)站上很輕易地買到電話清單。電話號(hào)碼本身的泄露問題已經(jīng)很嚴(yán)重，垃圾短信、釣魚網(wǎng)站就已經(jīng)成為了現(xiàn)代生活的一大痼疾，但黑客能從電話上獲取更多的信息。

在剛才微博的例子中，黑客所做的就是把用戶的電話號(hào)碼放到支付寶、QQ、微信等社交網(wǎng)站上進(jìn)行搜索，得到用戶的姓名、昵稱等隱私信息，一個(gè)用戶的完整生態(tài)就此建立。

通過上述兩種方法，在互聯(lián)網(wǎng)上其實(shí)已經(jīng)可以初步搜索到用戶的生活城市、工作職位以及個(gè)人履歷。這種搜索手段被稱為社會(huì)工程學(xué)（Social Engineering），通過合法手段，普通人就已經(jīng)毫無隱私可言。而在暗網(wǎng)上，還有專門整理的社會(huì)工程學(xué)數(shù)據(jù)庫(kù)，定位更加精準(zhǔn)。

接下來，黑客會(huì)通過郵件、短信等方式來試圖騙出你的密碼。黑客知道了你的大致生活狀態(tài)，你會(huì)很輕易地相信對(duì)方是來自某個(gè)權(quán)威機(jī)構(gòu)。譬如你收到了一封名為“您的apple id已被鎖定”釣魚郵件，很多用戶就會(huì)去虛假的蘋果網(wǎng)站上上輸入自己的賬號(hào)和密碼，黑客就會(huì)用它去撞庫(kù)匹配。

但即便電話號(hào)碼成為了如今數(shù)據(jù)的主要泄露方式，它依然是我們密碼保障的重要一環(huán)。短信驗(yàn)證、雙重登陸、密碼找回都是重要的密碼保護(hù)方式，我國(guó)的實(shí)名認(rèn)證也必須需要電話號(hào)碼，與其擔(dān)心號(hào)碼被不良商家販賣，不如接受現(xiàn)實(shí)，構(gòu)造一個(gè)難以被攻破的密碼體系。

如何制造簡(jiǎn)單省事的安全密碼

設(shè)置一套安全的密碼，說起來容易做起來難。雖然手機(jī)上已經(jīng)可以通過密碼管理軟件來云端存儲(chǔ)，但人的記憶力才是用戶最為信任的地方。對(duì)于習(xí)慣使用密碼管理軟件的同學(xué)們，小雷建議還是將備份抄寫在筆記本上攜帶，防止遺忘，也可以用md2等加密算法進(jìn)行加密。而對(duì)于習(xí)慣大腦記憶的同學(xué)們，小雷準(zhǔn)備了一套完善的“密碼分級(jí)”制度。

在設(shè)置密碼的過程中，重要的一步就是為密碼分級(jí)，那些小網(wǎng)站可以選擇好記安全性偏低的密碼，而重要賬號(hào)則使用安全性偏高的密碼。而郵箱作為接收網(wǎng)站驗(yàn)證、私人消費(fèi)記錄等重要場(chǎng)景，理應(yīng)使用最復(fù)雜的密碼來進(jìn)行防護(hù)，并且要勤更換。

例如網(wǎng)易郵箱，就在今天特地發(fā)布了一個(gè)倡議，網(wǎng)易表示，盡管通過各種安全手段，網(wǎng)易郵箱每年阻擋各類攻擊超過五十億次，但使用同一套賬號(hào)密碼依然伴隨著巨大的風(fēng)險(xiǎn)，倡議用戶每年進(jìn)行更換。為了讓老用戶更加快捷地更換密碼，網(wǎng)易也特地提供了賬號(hào)快捷入口，并建議用戶完成手機(jī)綁定和二次驗(yàn)證。

在次一級(jí)的網(wǎng)站上，小雷建議可以使用通用密碼+網(wǎng)站后綴的方式使用，例如微博，可以在常規(guī)密碼之后加上weibo或者sina的后綴，常規(guī)密碼則使用幾個(gè)進(jìn)行替換。我們之前說過，除非是定點(diǎn)爆破，否則黑客絕不會(huì)一個(gè)個(gè)用手打。這樣即使密碼丟失黑客利用腳本進(jìn)行暴力匹配，放到其他網(wǎng)站上也過不去。

對(duì)于再次一級(jí)的網(wǎng)站，譬如一些用過就丟的資源站，小雷建議使用不常用的垃圾郵箱和通用的密碼進(jìn)行注冊(cè)即可。通?？梢允褂靡痪湓挼目s寫，或者古詩詞的漢語拼音縮寫進(jìn)行注冊(cè)。

在現(xiàn)代生活中，我們幾乎很難擁有著絕對(duì)隱私，但我們也不能對(duì)自己的賬戶安全“徹底躺平”。當(dāng)今的互聯(lián)網(wǎng)生活中，依然只有密碼才能讓我們保持住最后一絲安全，大企業(yè)的硬件加密和軟件防護(hù)都已經(jīng)做得非常齊全。不要因?yàn)槠胀ǖ摹澳_本小子”，就給自己糟糕的密碼管理買單，要輸，也要輸給大企業(yè)和頂級(jí)黑客。

----------------------------------

點(diǎn)擊文章頂部雷科技頭像，私信回復(fù)“搞機(jī)”，即可獲得玩機(jī)技能合集。