【原】“黑哥，幫我盜下前女友的微信號(hào)吧，我給錢”

網(wǎng)羅燈下黑 2020-11-12

展開(kāi)全文

看了之后我簡(jiǎn)直苦笑不得，類似這種問(wèn)題十幾年前也有人問(wèn)，只不過(guò)當(dāng)時(shí)讓盜的是 QQ 號(hào)。

首先，實(shí)說(shuō)實(shí)說(shuō)，我沒(méi)這能耐，只是愛(ài)折騰軟件而已，我是黑哥，并不是黑客。

再者，盜號(hào)？小伙子，你這想法很危險(xiǎn)啊，這種做法本身就是違法的，還是兩個(gè)人好好溝通吧。

不過(guò)估計(jì)這位小伙伴也是看了不少被盜號(hào)、密碼被泄漏的新聞，才突發(fā)奇想的。

但實(shí)際上，他可能對(duì)密碼破解這事存在一些誤會(huì)，那么那今天就聊一下密碼安全這個(gè)話題。

不知道有沒(méi)有小伙伴記得 2011 年 12 月 CSDN 的「密碼外泄門」，當(dāng)時(shí) 600 萬(wàn)用戶的登錄名、密碼及郵箱均遭到泄露。除了 CSDN，天涯、世紀(jì)佳緣、人人網(wǎng)、珍愛(ài)網(wǎng)等網(wǎng)站的用戶個(gè)人信息也被泄露。

甚至有人還將這些個(gè)人信息數(shù)據(jù)做成了壓縮包，在網(wǎng)上隨處可以能下載。嗯，這算得上是名副其實(shí)的「裸奔」了。

那幾天正好還是到冬至了，好多人是一邊吃餃子、一邊改密碼。

網(wǎng)友下載到泄露的數(shù)據(jù)庫(kù)文件，內(nèi)含大量賬號(hào)和密碼信息

在今年的四月份，禍不單行的東哥又碰上了麻煩事，京東公司又被傳言泄露了五千萬(wàn)用的戶數(shù)據(jù)。

幸好京東官方微博@京東發(fā)言人回應(yīng)稱，確認(rèn)這些數(shù)據(jù)不實(shí)京東賬號(hào)數(shù)據(jù)，請(qǐng)勿造謠傳謠。

從上面這兩個(gè)例子你可能看出來(lái)了，這些疑似泄露的賬號(hào)數(shù)據(jù)，并不是定向針對(duì)某一個(gè)用戶的賬號(hào)進(jìn)行破解，而是被人連窩端掉了賬號(hào)數(shù)據(jù)庫(kù)，也就是大家通常說(shuō)的“脫褲”，錯(cuò)了，應(yīng)該是“拖庫(kù)”。

這只是密碼被泄露的一種情況，黑客其實(shí)針對(duì)的是網(wǎng)站平臺(tái)，你只是不幸中招的其中之一罷了。除此之外，密碼被盜還有其他幾種情況。

那么，我們首先就來(lái)看看——

你的密碼是怎么被盜的？

我們注冊(cè)一個(gè)賬號(hào)的時(shí)候，通常情況下，設(shè)置的密碼除了天知地知，只有你知網(wǎng)站知，很簡(jiǎn)單，因?yàn)槟阒话衙艽a只告訴了網(wǎng)站。

所以，密碼一旦被泄露，問(wèn)題要么出在用戶身上，要么出在網(wǎng)站身上。注意，再次強(qiáng)調(diào)，還是通常情況下，至于為啥，后邊會(huì)提到。

1.網(wǎng)站的鍋

像上面提到的 CSDN 的「密碼外泄門」就是網(wǎng)站平臺(tái)的原因，當(dāng)時(shí)這件事之所以鬧得沸沸揚(yáng)揚(yáng)，主要是因?yàn)?CSDN 網(wǎng)站的特殊性。

了解這個(gè)站的小伙伴們都知道，如果是普通的行業(yè)網(wǎng)站不幸中招，聽(tīng)起來(lái)似乎也并不奇怪。但作為一個(gè)專業(yè)的 IT 知識(shí)論壇，運(yùn)營(yíng)者和用戶都是程序員和開(kāi)發(fā)者，本身就應(yīng)該具備更嚴(yán)密的安全防范措施，但還是不幸中招，這事就有點(diǎn)出洋相了。

但，最離譜的還不止如此。如果說(shuō)被“拖庫(kù)”只是出洋相，那么后面的事情就更加不可思議了。

前邊說(shuō)到，我們?cè)O(shè)置好的密碼只有自己和網(wǎng)站知道，賬號(hào)密碼都保存在網(wǎng)站密碼數(shù)據(jù)庫(kù)上，但這個(gè)保存形式可不應(yīng)該是這樣的形式：

用戶名：abcde

密碼：123456

這種方式是屬于明文保存，也就是沒(méi)有經(jīng)過(guò)任何加密的，一旦密碼庫(kù)被泄露，直接拿過(guò)來(lái)就可以用。

所以為了避免黑客盜取密碼數(shù)據(jù)庫(kù)，稍微靠譜點(diǎn)的網(wǎng)站都會(huì)對(duì)密碼數(shù)據(jù)庫(kù)進(jìn)行加密，比如有些網(wǎng)站采用的 MD5 方式進(jìn)行加密。

稍微科普一下，MD5 是一種被廣泛使用的密碼散列函數(shù)，可以把原密碼生成出一個(gè)散列值，主要用于確保信息傳輸完整一致，比如你在很多資源下載站見(jiàn)到的 MD5 校驗(yàn)碼就是提供給你檢驗(yàn)下載的文件是否和上傳者提供的一致。

如果我們用 MD5 方式給密碼加密，原來(lái)的明文密碼就會(huì)變成——

這樣的話，即使密碼數(shù)據(jù)庫(kù)被盜，密碼也不會(huì)以明文的方式脫光光暴露在黑客眼前。

當(dāng)然，MD5 加密也并非牢不可破，實(shí)際上，在一些 MD5 解密查詢的網(wǎng)站上就可以被破解，比如說(shuō)這個(gè)：www.cmd5.com。

可以看到，加密后的 MD5 密文在這上面都可以反查出原始密碼來(lái)。

所以，對(duì)于密碼數(shù)據(jù)庫(kù)加密方式來(lái)說(shuō)，MD5 這種早已經(jīng)不夠看了，比如采用解密難度更大的 SHA-2 算法，或者對(duì)密碼進(jìn)行 MD5+Salt （俗稱加鹽）的方法來(lái)進(jìn)行雙重加密，這樣黑客即使下載了數(shù)據(jù)庫(kù)，想破解密碼也沒(méi)那么簡(jiǎn)單。

但，在 CSDN 的「密碼外泄門」中，連最基本的 MD5 都沒(méi)有用，直接以明文存儲(chǔ)密碼，這樣黑客們攻陷了密碼數(shù)據(jù)庫(kù)后根本不用破譯，用戶們的賬號(hào)密碼直接一覽無(wú)遺。

作為一家專業(yè) IT 論壇，犯這樣的低級(jí)錯(cuò)誤，你說(shuō)這事是不是有點(diǎn)不可思議。

上面說(shuō)的這么多，責(zé)任在于網(wǎng)站一方，如果這種情況發(fā)生，用戶除了趕緊修改密碼，別的毫無(wú)辦法。

但，如今稍微靠譜點(diǎn)的網(wǎng)站都會(huì)注重密碼數(shù)據(jù)庫(kù)的加密管理，畢竟，這可是命根子啊，所以“拖庫(kù)”這種事發(fā)生在大網(wǎng)站身上的幾率很低，大家不必過(guò)于擔(dān)心。

2.用戶的鍋

排除掉網(wǎng)站的問(wèn)題，那么剩下的鍋就得用戶自己背。

這里面的鍋也分好幾種情況：

首先，由于按捺不住好奇心，點(diǎn)了一些類似“只有老婆不在家才敢玩的游戲”這種鏈接，不小心中了木馬，導(dǎo)致輸入密碼的時(shí)候本地鍵盤操作被監(jiān)聽(tīng)記錄，結(jié)果游戲沒(méi)玩成，賬號(hào)不見(jiàn)了。

不過(guò)這種情況現(xiàn)在已經(jīng)很少見(jiàn)，大家上網(wǎng)時(shí)要善于克制自己的求知欲，不要點(diǎn)開(kāi)那些看了讓人臉紅的網(wǎng)頁(yè)，注意安裝安全軟件，一般問(wèn)題都不大。

其次，就是上了一些仿造官網(wǎng)的釣魚(yú)網(wǎng)站，或者連接公共 WIFI 時(shí)被抓包等等，都是被李鬼半路截胡了，傻傻分不清楚，自動(dòng)送上密碼。

這種情況如今倒是很常見(jiàn)，你還別以為很容易辨別，不信試試下面這個(gè)站，

據(jù)說(shuō)這是肉眼最難分辨的釣魚(yú)網(wǎng)站，如果不放在一起對(duì)比的話，有幾個(gè)能辨別出來(lái)？

所以，別以為自己是老司機(jī)，稍不留神還是會(huì)翻車。遇到這種“真假李逵”，一定要留心甄別網(wǎng)站鏈接的真?zhèn)?，避免被釣到大魚(yú)。

你看，上面這兩種盜號(hào)的方法，說(shuō)穿了還是為了哄騙你自己乖乖把密碼主動(dòng)交出來(lái)，這是成本最低的辦法。

因?yàn)槌诉@些，剩下的唯一方法就只有靠“暴力破解”了，通過(guò)窮舉一定長(zhǎng)度的字符組合來(lái)破解密碼，這就完全是靠運(yùn)氣吃飯了。

當(dāng)然，為了提高成功率，黑客們還會(huì)將用戶常用的密碼編成一本“密碼字典”，使用這份密碼字典會(huì)大大提高暴力破解的幾率。

那么問(wèn)題來(lái)了，什么是用戶常用的密碼呢？

說(shuō)白了，還不是因?yàn)槟惆?strong>密碼設(shè)置的太！簡(jiǎn)！單！了！

國(guó)外有一家叫 SplashData 的網(wǎng)站，每年都會(huì)從已遭泄露的密碼數(shù)據(jù)中分析出一個(gè)最差密碼的排行榜。

「123456」和「password」穩(wěn)居榜單的前兩名，其他的密碼也是簡(jiǎn)單的不能再簡(jiǎn)單了，用耳朵都能想到那種。

還有，可以打個(gè)賭，如果大家的生日都是同一天，那么榜單前列必須會(huì)有這個(gè)生日日期密碼的位置。

看看這榜單吧，有多少人中槍了？

更要命的是，絕大多數(shù)人還有個(gè)習(xí)慣，為了便于記憶，賬戶幾乎都使用相同的密碼，換句話說(shuō)，你手里的密碼成了開(kāi)門的萬(wàn)能鑰匙，方便倒是方便了，可一但這把萬(wàn)能鑰匙丟了，你所有的門戶都將對(duì)小偷大門敞開(kāi)。

沒(méi)錯(cuò)，如果有一個(gè)網(wǎng)站平臺(tái)的密碼數(shù)據(jù)庫(kù)泄露了，那就意味著所有平臺(tái)密碼就全部泄露了。

雖然這時(shí)候黑客手里只是有了一把萬(wàn)能鑰匙，但不知道哪些門可以開(kāi)，但是他可以挨個(gè)試啊，通過(guò)技術(shù)手段，嘗試批量登陸其他網(wǎng)站平臺(tái)，這就是“撞庫(kù)”，那些常見(jiàn)的社交網(wǎng)站通常都會(huì)是重災(zāi)區(qū)，總能撞開(kāi)幾扇門吧？如此以來(lái)，你的個(gè)人隱私甚至支付密碼也會(huì)有泄露的風(fēng)險(xiǎn)。

所以，還記得最開(kāi)始說(shuō)到的“通常情況下，密碼一旦被泄露，問(wèn)題要么出在用戶身上，要么出在網(wǎng)站身上”嗎？

這就是特殊的那種情況：被“撞庫(kù)”的網(wǎng)站沒(méi)犯錯(cuò)，用戶也沒(méi)犯錯(cuò)，但密碼還是被泄露了。

其中的關(guān)鍵就在于，很多用戶在不同網(wǎng)站平臺(tái)使用的是相同的賬號(hào)密碼。

OK，一口氣說(shuō)了這么多，總結(jié)一下，有這么幾點(diǎn)：

1.首先避免木馬或被釣魚(yú)，排除掉主動(dòng)泄露密碼的可能。

2.不要設(shè)置太過(guò)簡(jiǎn)單的賬戶密碼，避免主動(dòng)送人頭。

3.不要把密碼設(shè)置成萬(wàn)能鑰匙，避免一處被破，處處失守。

這時(shí)候大家可能又會(huì)說(shuō)了，其實(shí)這些都是老生常談，道理都懂，就是做不好。

密碼要安全，那就得復(fù)雜一點(diǎn)，復(fù)雜了自己又記不??；想要密碼好記吧，結(jié)果黑客也好記，于是又不安全。

理解，其實(shí)我費(fèi)勁口舌寫(xiě)了這么多，對(duì)于密碼，大家只關(guān)心兩點(diǎn)：

安全和好記。

那么，終極問(wèn)題來(lái)了，怎么在安全和好記之間找一個(gè)完美的平衡點(diǎn)呢？

挖了這么一個(gè)大坑，黑哥來(lái)嘗試把它填上。

如何讓密碼好記又安全

針對(duì)上面的 3 點(diǎn)，我們來(lái)對(duì)癥下藥，想要密碼更安全，我們需要設(shè)置復(fù)雜的密碼，并且在不同網(wǎng)站都要分別設(shè)置不同的復(fù)雜密碼。

可以參考這幾個(gè)條件：一是盡量使用 3 種以上符號(hào)，如：大小寫(xiě)字母+數(shù)字+特殊符號(hào)；二是長(zhǎng)度最好 8 位或以上；三是沒(méi)有明顯的規(guī)律。

根據(jù)這些條件，結(jié)合多年上網(wǎng)的經(jīng)驗(yàn)，我摸索了一套設(shè)置密碼的方法，分享給大家，主要思路就是：「基礎(chǔ)密碼變形+網(wǎng)站對(duì)應(yīng)標(biāo)識(shí)」

只要記住了基礎(chǔ)密碼和變化規(guī)則，然后根據(jù)不同的平臺(tái)名稱來(lái)填寫(xiě)，就可以達(dá)到既安全又好記的目的。

咱們還是舉例來(lái)說(shuō)吧：

1. 基礎(chǔ)密碼

只要是你中意的一句話、一句詩(shī)等等，反正是只要你能記住的就行，然后取這句話的拼音或者拼音首字母做為基礎(chǔ)密碼

比如：我是大帥哥，那就是 wsdsg，嫌短也可以再加上注冊(cè)年份：wsdsg2019

或者大家最常用的數(shù)字，比如你的生日加名字縮寫(xiě)字母：20080808mq，不要直接使用，可以用 Shift 鍵符號(hào)替代法，在輸入基礎(chǔ)密碼的時(shí)候，可以按住 shift 鍵不松，然后依次輸入鍵 20080808mq ，這樣實(shí)際輸入的基礎(chǔ)密碼就變成了 @））*）*）*MQ

或者可以把基礎(chǔ)密碼里的數(shù)字和字母互相變形，使用字母來(lái)替代部分?jǐn)?shù)字，用數(shù)字來(lái)代替字母，比如 0 用 o 代替，g 用 9 來(lái)代替。

反正只要自己記得住，隨意變形都可以。實(shí)際上你只需要記住這幾位基礎(chǔ)密碼就可以了。

2. 網(wǎng)站對(duì)應(yīng)標(biāo)識(shí)

這個(gè)很好理解，你可以把網(wǎng)站的主域名首尾兩個(gè)字母取來(lái)當(dāng)做網(wǎng)站標(biāo)識(shí)，比如淘寶的域名是是 taobao.com，就可以選取 t 和 o ，新浪 sina 就是 s 和 a，不一定非要按這個(gè)，只要你能記住就行。

然后把基礎(chǔ)密碼放在這兩個(gè)字母中間，為了滿足很多網(wǎng)站要求密碼必須含有大小寫(xiě)的規(guī)則，最好一個(gè)用大寫(xiě)，一個(gè)用小寫(xiě)，比如淘寶賬號(hào)的密碼就是 T@））*）*）*o、新浪賬號(hào)的密碼就是 S@））*）*）*a

基本的思路就是這些，其實(shí)從頭到尾你只需要記住基礎(chǔ)密碼，遇到什么網(wǎng)站就加上對(duì)應(yīng)的域名標(biāo)識(shí)，萬(wàn)變不離其宗。

說(shuō)了這么多，那這密碼到底牢靠不牢靠呢？

還記得之前給大家介紹檢驗(yàn)密碼強(qiáng)度的網(wǎng)站嗎？

網(wǎng)址：

https://

我們首先檢測(cè)一下基礎(chǔ)密碼的強(qiáng)度，以 20080808mq 為例：

破解這 8 位數(shù)字加 2 位字母的弱密碼需要 1 天。

如果使用 shift 輸入變形，則密碼為@））*）*）*MQ

破解需要 4 天。

最后，加上網(wǎng)站對(duì)應(yīng)標(biāo)識(shí)進(jìn)行變形，比如淘寶賬號(hào)的密碼就是 T@））*）*）*o

破解最終這個(gè)密碼則需要三千年。

基本上這個(gè)密碼強(qiáng)度已經(jīng)相當(dāng)不錯(cuò)了，而從頭到尾你僅僅只需要記住你的生日和姓名，如果對(duì)密碼強(qiáng)度要求更高，還可以增加位數(shù)和變形次數(shù)，達(dá)到你滿意為止。

此外，除了密碼需要加網(wǎng)站標(biāo)識(shí)之外，最好把自己的常用賬號(hào)也加上網(wǎng)站標(biāo)識(shí)，不要一個(gè)用戶名走天下，比如 wldxh 注冊(cè)淘寶時(shí)，賬號(hào)就變?yōu)?twldxho。

原因很簡(jiǎn)單，因?yàn)楹芏鄷r(shí)候，通過(guò)搜索同一個(gè) ID 就可以找到你在各個(gè)網(wǎng)站注冊(cè)的賬號(hào)，這樣就可以降低被人肉搜索到的風(fēng)險(xiǎn)。

所以行走江湖，還是穩(wěn)字當(dāng)頭。

結(jié)語(yǔ)

關(guān)于密碼管理的這個(gè)話題今天就講這么多，希望那位小伙伴就不要想著去盜前女友的微信號(hào)了，一是現(xiàn)在很多賬號(hào)都綁定有手機(jī)號(hào)，除了密碼還多了一層防護(hù)，再加上密碼稍微復(fù)雜點(diǎn)，被盜的可能基本沒(méi)有。二是這事真的不體面。

還是讓往事一切隨風(fēng)吧。

對(duì)了，可能也會(huì)有小伙伴會(huì)問(wèn)到，如果使用那些密碼管理工具會(huì)不會(huì)更方便，更安全？使用哪款工具效率更高？

鑒于這篇已經(jīng)嚴(yán)重超長(zhǎng)，這個(gè)話題改日再聊。

至于我，還是更愿意用一套自己的記憶方法和變形規(guī)則把密碼記在心里，這樣更踏實(shí)。

OK，至于其他那些靠一套萬(wàn)能密碼走天下的小伙伴，希望這篇寫(xiě)了 3 天長(zhǎng)文能給你一些啟發(fā)。如果對(duì)你有幫助，別忘了賞個(gè)在看。