如果你在网上冲浪时见过这样的画面,那么恭喜你,被盗号了。
你的账号密码是怎么被偷走的?这些被泄露的密码去了哪里?
视频版
↓↓ 看完这个视频就知道了 ↓↓
↑↑ 信我,真的超级好看 ↑↑
一个账号密码背后,往往涉及到大量的个人信息。一旦泄漏,黑客会比你爸妈更加了解你。
想要知道你的密码,最简单的方法是:「试」。最简单粗暴的「试」法是穷举法,也就是把数字、字母排列组合,然后挨个尝试。
不过很多人会用英文单词、姓名缩写、生日、手机号码等作为自己的密码,所以如果事先建立一个包含海量英文单词、短语以及数字组合的「密码字典」,再一一尝试,效率会远高于穷举法。
简单的密码在穷举法和密码字典前形同虚设。像乌克兰军方曾经用过的这种密码,只需不到一秒即可破解。但想防范密码被别人「试」出来也很简单:你只要设置一个相对复杂的密码,就能大幅延长破解时间。破解一个无规律的七位纯数字密码需要大约 1 小时;如果是数字、大小写字母和特殊符号组合,就需要花一个多月的时间。一个足够复杂的密码可能会让破解软件穷举到地老天荒,所以才有那么多网站要求密码必须包含多种字符。而且,网站还可以限制输错密码的次数,超过后立刻冻结账号,直接废掉穷举法。所以除了「试」以外,你的密码更可能是被黑客从各种地方「偷」走的。过去比较常见的一种手段,是用键盘记录器等工具记录下你键盘的每一个操作,然后在后台发给黑客。在网吧最红火的时代,许多网吧老板甚至也会在电脑中装这类工具,偷走你的账号密码,把你游戏里的装备洗劫一空,或者用你的账号跟陌生人激情聊天。而在 Wi-Fi 普及之后,黑客还可以采用 Wi-Fi 中间人攻击:也就是伪造一个与合法 Wi-Fi 接入点同名的无线信号,骗你接入后,就偷走你的邮箱账号密码等信息,甚至还可以再利用「忘记密码」等功能,一锅端掉你用邮箱注册过的所有账号。所以技术高明的黑客往往会选择「拖库」,也就是直接入侵网站服务器,窃取存储用户数据的数据库,一次偷出数百万乃至数千万人的信息。如果网站服务器上账号和密码未经二次加密,明文保存,那无论你设置了多复杂的密码,在拖库面前都无能为力。比如 2011 年 12 月,CSDN 就遭遇拖库,眼睁睁地看着 600 万用户的账号密码明文泄漏。更严重的是,「拖库」还会波及你在互联网上其他帐户。在通过「拖库」之后,黑客会先「洗库」,也就是通过黑色产业链将有价值的个人信息变现,比如盗取网游装备、Q 币,或者把你的身份证号和手机号码等个人信息卖给垃圾广告公司。经过几轮「洗库」之后,你账号本身的价值已经被榨取干净。于是黑客会继续「撞库」,也就是拿着你的账号密码,去尝试登录其他网站,获取更多的个人信息。如果你在多个网站都用了同一套账号密码的组合,那损失将不可估量。最后,这些被拖库的信息还会被打包,做成「社工库」,在黑色产业链上出售,压榨最后一波价值。比如曾经引起轩然大波的「开房记录查询」,就是一个典型的社工库案例。而这种免费公开的社工库中的信息,大多已经泄漏好几年,普通人此时就算知道自己隐私被泄漏,也已经无力回天了。为了防止被「拖库」,负责任的网站大多会在服务器上通过哈希算法或者「加盐」等方式,加密保存用户信息。这样即便被拖库,黑客也需要花许多时间解密,这能给网站和用户以反应时间,及时修改密码,降低损失。而作为个人,我们能做的就是使用密保卡、动态令牌,或者手机验证码等安全工具,给自己的账号提供第二层保护,这样即便被拖库,黑客也无法登录你的账号。实际上,在目前的信息安全领域,最薄弱的环节不是技术,而是技术背后的人。假如你真的被人盯上,那黑客们往往会直接「骗」走密码。信息安全领域的骗术一般被称为「社会工程」,也就是利用人性的弱点操纵他人,通过欺骗管理安全系统的具体个人,来获取机密信息。普通人也可能碰上类似手段。比如你可能收到过奇怪的安全提示邮件,要求你点开网址,修改密码。这其实就是有人利用恐惧心理,通过钓鱼邮件和钓鱼网站,蒙骗你主动交出账号密码。如果用上了这种手段,黑客或骗子们盯上的可能就不止是账号密码了。它的背后往往隐藏着更复杂的骗局。比如 2014 年,黑客就通过这种手段,破解了多位好莱坞女星的 iCloud 账号,偷走了她们的私密照片。想要防范社会工程,只能靠自己多长点儿心眼。当然,也并非所有的骗术都那么高明,比如著名的「尼日利亚王子」诈骗邮件,就因为过分低级而获得了 2005 年的搞笑诺贝尔文学奖,甚至还被做成了 rap,为你提供快乐:
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
