如果你在网上冲浪时见过这样的画面,那么恭喜你,被盗号了。
你的帐号密码是怎么被偷走的?这些被泄露的密码去了哪里?
视频版
↑↑ 信我,真的超级好看 ↑↑
图文版
一个帐号密码背后,往往涉及到大量的个人信息。一旦泄漏,黑客会比你爸妈更加了解你。
想要知道你的密码,最简单的方法是:「试」。最简单粗暴的「试」法是穷举法,也就是把数字、字母排列组合,然后挨个尝试。
不过很多人会用英文单词、姓名缩写、生日、手机号码等作为自己的密码,所以如果事先建立一个包含海量英文单词、短语以及数字组合的「密码字典」,再一一尝试,效率会远高于穷举法。
简单的密码在穷举法和密码字典前形同虚设。像乌克兰军方曾经用过的这种密码,只需不到一秒即可破解。
但想防范密码被别人「试」出来也很简单:你只要设置一个相对复杂的密码,就能大幅延长破解时间。破解一个无规律的七位纯数字密码需要大约 1 小时;
如果是数字、大小写字母和特殊符号组合,就需要花一个多月的时间。
一个足够复杂的密码可能会让破解软件穷举到地老天荒,所以才有那么多网站要求密码必须包含多种字符。
而且,网站还可以限制输错密码的次数,超过后立刻冻结帐号,直接废掉穷举法。
所以除了「试」以外,你的密码更可能是被黑客从各种地方「偷」走的。
过去比较常见的一种手段,是用键盘记录器等工具记录下你键盘的每一个操作,然后在后台发给黑客。
在网吧最红火的时代,许多网吧老板甚至也会在电脑中装这类工具,偷走你的帐号密码,把你游戏里的装备洗劫一空,或者用你的帐号跟陌生人激情聊天。
而在 Wi-Fi 普及之后,黑客还可以采用 Wi-Fi 中间人攻击:也就是伪造一个与合法 Wi-Fi 接入点同名的无线信号,骗你接入后,就偷走你的邮箱帐号密码等信息,
甚至还可以再利用「忘记密码」等功能,一锅端掉你用邮箱注册过的所有帐号。
当然,一次只偷一个密码,效率还是太低了。
所以技术高明的黑客往往会选择「拖库」,也就是直接入侵网站服务器,窃取存储用户数据的数据库,一次偷出数百万乃至数千万人的信息。
如果网站服务器上帐号和密码未经二次加密,明文保存,那无论你设置了多复杂的密码,在拖库面前都无能为力。
比如 2011 年 12 月,CSDN 就遭遇拖库,眼睁睁地看着 600 万用户的帐号密码明文泄漏。
更严重的是,「拖库」还会波及你在互联网上其他帐户。在通过「拖库」之后,黑客会先「洗库」,也就是通过黑色产业链将有价值的个人信息变现,比如盗取网游装备、Q 币,或者把你的身份证号和手机号码等个人信息卖给垃圾广告公司。
经过几轮「洗库」之后,你帐号本身的价值已经被榨取干净。
于是黑客会继续「撞库」,也就是拿着你的帐号密码,去尝试登录其他网站,获取更多的个人信息。
如果你在多个网站都用了同一套帐号密码的组合,那损失将不可估量。
最后,这些被拖库的信息还会被打包,做成「社工库」,在黑色产业链上出售,压榨最后一波价值。
比如曾经引起轩然大波的「开房记录查询」,就是一个典型的社工库案例。而这种免费公开的社工库中的信息,大多已经泄漏好几年,普通人此时就算知道自己隐私被泄漏,也已经无力回天了。
为了防止被「拖库」,负责任的网站大多会在服务器上通过哈希算法或者「加盐」等方式,加密保存用户信息。
这样即便被拖库,黑客也需要花许多时间解密,这能给网站和用户以反应时间,及时修改密码,降低损失。
而作为个人,我们能做的就是使用密保卡、动态令牌,或者手机验证码等安全工具,给自己的帐号提供第二层保护,这样即便被拖库,黑客也无法登录你的帐号。
实际上,在目前的信息安全领域,最薄弱的环节不是技术,而是技术背后的人。假如你真的被人盯上,那黑客们往往会直接「骗」走密码。
信息安全领域的骗术一般被称为「社会工程」,也就是利用人性的弱点操纵他人,通过欺骗管理安全系统的具体个人,来获取机密信息。
普通人也可能碰上类似手段。比如你可能收到过奇怪的安全提示邮件,要求你点开网址,修改密码。
这其实就是有人利用恐惧心理,通过钓鱼邮件和钓鱼网站,蒙骗你主动交出帐号密码。
如果用上了这种手段,黑客或骗子们盯上的可能就不止是帐号密码了。它的背后往往隐藏着更复杂的骗局。
比如 2014 年,黑客就通过这种手段,破解了多位好莱坞女星的 iCloud 帐号,偷走了她们的私密照片。想要防范社会工程,只能靠自己多长点儿心眼。
当然,也并非所有的骗术都那么高明,比如著名的「尼日利亚王子」诈骗邮件,就因为过分低级而获得了 2005 年的搞笑诺贝尔文学奖,甚至还被做成了 rap,为你提供快乐:
去下面留言,快。
网友评论
最新评论