资讯 > 安全资讯 > 正文

黑客盗取一个账号密码有多简单?答案令人震惊!

摘要: 当下由于互联网/移动互联网蓬勃发展,每个人日常需要使用的账号密码越来越多,如在电脑端需要登录大量网站浏览新闻,登录各大银行办理交易业务,进入各种理财APP去管理资产。


      当下由于互联网/移动互联网蓬勃发展,每个人日常需要使用的账号密码越来越多,如在电脑端需要登录大量网站浏览新闻,登录各大银行办理交易业务,进入各种理财APP去管理资产。随着年龄的增长,靠大脑去记忆多样的账号密码已不再是一件轻松可以完成的事,这还不包括你在工作生活中使用各类系统,产生的大量密码记忆。

      这就带来一个问题,有些网民想到,既然密码不容易记,简单的还容易被破解,那我只要将其设置为一个复杂密码,然后所有登录入口皆用同一个密码,岂不就解决了问题了吗?

      针对这些互联网用户,今天我们来科普一下,这个问题带来的潜在隐患。

 1.首先,拖库/买库

      其实,不管你的密码是否复杂,其实黑客是不知道的,其一般的攻击行为是始发自各大门户网站、电商平台,而不用去扫描偷窥监听你的键盘。在专业术语上,称之为脱裤(即:拖库)。操作手段一般为两种:

l  黑客攻击服务器盗取数据

      多为黑客通过网站漏洞潜入服务器,批量盗取平台下所有用户的账户信息(还包含您的隐私信息,如身份证号,联系电话,姓名住址等等)

l  内鬼贩卖数据,里应外合

      通过平台内鬼盗取数据,或内鬼向黑客们兜售用户数据,拿到用户数据库。

      针对上述黑客行为的新闻早已屡见不鲜。这时作为被盗取数据用户的一员,你需要祈祷,如果该服务商没有良心,未将你的密码加密存储,则你的密码就直接暴露了,即使再复杂,黑客也看的清清楚楚(记住这里,第一次直接拿到了你的明文密码)。这里需要说明的是,黑客并不是针对你采取单独的行动,但你的账号密码却被连带着一起泄漏了。

      即使做过加密,一般公司都是采用MD5的简单HASH方式,将用户密码散列成32位字符进行存储。这根本难不倒黑客,黑客通过自建密码库的方式,可以大量生成随机字符组合,再将字符组合生成MD5,做成字典表进行对照查找。

      举个例子:你的密码是:123¥%^*()_$fNak,那么通过MD5进行HASH计算后,密码加密后的密文是:D19D7599609E7DB738FD38136D60B5A5。现在黑客掌握的密码库已经大到6亿组字典对照,人力正常的思维编辑的才涵盖三千万左右,所以你的密码再复杂,基本上黑客通过查表就可以搞到你加密前的密码。(记住这里,即使加密了,仍然可能拿到你的明文密码)。

      PS:不要太信任现在的厂商,因为距我了解,业内的程序员普遍都是这种简单的对密码进行加密处理(行业陋习,不重视信息安全所致)。

      到这里,我们假设您在xxx电商平台或某新闻平台,被黑客盗取了你这个复杂的密码,并可能被恢复成明文:123¥%^*()_$fNak

2.接下来,撞库/洗库


      下面的内容才开始可怕。黑客通过掌握的大量用户的明文账户密码(你的也在里面),通过简单的模拟登录程序脚本,批量登录各大网站,交易系统,来尝试账号密码可用性。最终发现:你在xxx电商平台、xxx银行网银、xxx股票系统、xxx贵金属交易系统、xxx服务中心都是一样的密码,就将该账号标记为这些平台都可以登录,数据清洗成功,标记为可用。

      接下来,可能:

      你的xxx网银转账给一个你不认识的人一笔不菲的费用,余额为零

      你的xxx贵金属交易系统将你的资产转移到一个陌生人名下

      你的xxx电商平台积分全部兑换为Q币一次性转走

      。。。。

      经过以上的分析,只用一个复杂的密码,图个省事,想走遍天下,还敢么?。。。

 

      我该怎么办?

      我们建议大家选择密码管理器这样的产品来存储保护重要的密码。这里提供几个大家可以自行百度。

l   软件密码管理器

      对于偏爱使用app的朋友,可以在手机应用商店搜索1password、lastpass,优点是便携方便,手机本来就随身带着,装个app随用随查,缺点是密码数据托管在云端,使用时用户通过自己设置的主密码来打开软件;

l   硬件密码管理器

      如果对于密码数据托管云端的方案有顾虑,可选择硬件的密码管理器,极密盾K2,优点是数据都加密存在设备里(云端不保存用户数据),携带方便(u盘大小),使用时手机app通过蓝牙和硬件连接,输入自己设置的主密码来管理,缺点是毕竟要再携带一个小设备。

      另外,在选购密码管理器时,大家一定要注意,需要看一下是否有提供密码生成器作为标配,即能够按规则自动生成密码的功能。毕竟靠人脑编写密码是一件很痛苦的事,尤其是你有大量账号,一个个去自己编密码,还要每个不重样会很痛苦,所以选择标配有密码生成器的密码管理器,不失为选购一款密码管理器的必要条件。

 


END
密码管理器