安全科普：怎樣保護好密碼

駐馬店市第二人民醫院 黃杰

前幾天，朋友出現了密碼被盜的現象，而且是批量地被盜走，注冊的很多個不同的網站密碼同時被盜，有感于普通人對密碼的意識比較淡薄，所以本文科普一下黑客盜號常用的手段以及普通人保護自己密碼安全所能做的安全措施。

密碼是怎樣被黑客盜取的？首先，賬號被盜取，第一個懷疑的就是電腦被中木馬的問題，黑客通過在個人電腦中植入木馬，可以利用鍵盤記錄，釣魚等方式來實現對密碼的盜取。但是檢查電腦后并沒有發現任何木馬，很明顯通過木馬的方式盜取他們賬號的可能性不大。

既然不是自己的電腦有問題，那么很可能就是曾經注冊過的網站被人“拖庫”，這里解釋下拖庫，所謂“拖庫”就是網站的用戶數據被人用SQL注入或者其它手段盜取，得到了這個網站的用戶名、密碼信息，很多知名網站都發過“拖庫”事件，如CSDN、天涯、小米等，黑客間將拖下來的庫進行交換、集中，就形成了一個又一個所謂的“社工庫”，社工庫中存放了很多個被“拖庫”網站的帳號密碼信息。

其實很多朋友還都有這樣一種習慣，就是為了方便記憶，都會把所有網站的賬號都用一個相同的賬號和密碼注冊，無論是小論壇，還是像京東，天貓這樣涉及財產的商城。這種做法是很不安全的，一旦其中一個網站淪陷，所有的帳號都將危險。特別是隨著2011年CSDN數據庫泄露事件之后，越來越多網站的數據庫出現泄露的事情，而且這些被泄露的數據庫都能夠在網站上隨意找得到。大家可以想一想，在你的賬號密碼都相同的情況下，通過以上的步驟，就可以輕易地知道你上過什么大學（學信網）、做的什么工作（前程無憂、智聯）、買了什么東西（京東、淘寶）、認識什么人（云通訊錄）、說過什么話（QQ、微信）

上面所說，并非危言聳聽，因為現實中存在太多可以“撞庫”的網站，也存在很多黑產大規模“洗庫”、“撞庫”、“刷庫”的例子。這里解釋下這幾個名詞，在通過“拖庫”取得大量的用戶數據之后，黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現，這通常被稱作“洗庫”，最后黑客將得到的數據在其它網站上進行嘗試登陸，叫做“撞庫”，因為很多用戶喜歡使用統一的用戶名密碼，“撞庫”往往收獲頗豐。

為了保護大家的密碼，在這里給大家一些密碼的建議，

一、定期修改自己的密碼；

一、重要網站的賬號密碼和非重要網站的賬號密碼一定要分開，如天貓、京東等涉及金錢的，最好做到賬號密碼都不一樣；

三、密碼具備一定的復雜度，如超過8位，包含大小寫及特殊符號，為了方便記憶，可使用專門的密碼軟件管理自己的密碼，比較著名的有1Password、KeePass等；

希望通過以上的內容，能夠讓大家對密碼安全有一個更好的認識，從而更好地保護自己的個人隱私和財產安全。