电脑怎么样会发密码给别人(你的密码是如何泄露的?)
如果你登录时见过这样的画面,那么你的账号很可能被盗了。
那么你的账号密码是怎么被偷走的?这些被泄露的密码去了哪里呢?
大数据时代,是一个没有隐私的时代。据说,只要分分钟,就能在网上买到成百上千条银行卡信息,包括银行卡号、卡主姓名、身份证号码、预留手机号码、银行密码。可怕的是随机选取的100个卡号进行信息验证,有91个银行卡密码正确!
大数据的时代,谁还没被盗过号呢?
很多人都有被盗号的经历,甚至有些人因为被盗号而产生财产损失。这些人中有的人连自己的账号和密码是怎么被盗走的都不知道!
一:穷举法
想要知道你的密码,最简单的方法是「试」。最简单粗暴的「试」法是穷举法,也就是把数字、字母排列组合,然后挨个尝试。
破解密码最简单粗暴的方法
穷举法的缺点是效率比较低,为了提高成功率,黑客们还会使用“字典破解”,因为很多人会用英文单词、姓名缩写、生日、手机号码等作为字己的密码,所以如果事先建立一个包含海量英文单词、短语以及数字组合的“密码字典”,使用这份密码字典进行暴力破解的几率会大大提高。
穷举法使用的密码字典,字典破解
简单的密码在穷举法和密码字典前形同虚设,可能用不上几秒钟的时间就被人破解了。
简单密码破解时间
所以在设置密码的时候千万不要嫌麻烦,尽量设置一个中高难度的密码。
穷举法破解一个7位数字密码大约1小时
破解一个无规律的七位数字密码需要大约1小时
密码尽量复杂数字字母大小写组合
如果是数字、大小写字母和特殊符号组合,就需要花一个多月的时间。
一个足够复杂的密码可能会让破解软件地老天荒,所以才有那么多网站要求密码必须包含多种字符。而且,网站还可以限制输错密码的次数,超过后立刻冻结帐号,直接废掉穷举法。
足够复杂的密码,穷举法也无计可施
二:监控法
所谓监控,就是监控你的电脑或者手机。这其实也不是给你的电脑植入木马来实现监控,其实只要监控你的键盘输入就可以了!
黑客后台收到键盘记录的密码
有些软件看起来是人畜无害的,对于操作系统没什么危害。但是它的出现并不是用来攻击操作系统的,而是在你不知道的情况下偷偷记住你的账号和密码!然后在后台发送给黑客。
曾经在遍地是网吧的时代,网吧管理员甚至是老板也会在电脑中装这类工具,偷走你的帐号密码,把你游戏里的装备洗劫一空,或者用你的帐号跟陌生人激情聊天。
入侵微网站服务器
三:SQL注入进行网站数据库破解
如果说前面两种情况,用户还是有主动权的,第三种情况则完全被动,你把帐号密码交给了网站,如果网站保管不当,就会被黑客攻击,你的密码就会泄露出去。业界通常把窃取网站密码数据库的行为称为“拖库”。
之前说的两种方法都是,一次只偷一个密码,效率还是太低了。所以技术高明的黑客往往会选择「拖库」,也就是直接入侵网站服务器,窃取存储用户数据的数据库,一次偷出数百万乃至数千万人的信息。
SQL注入一般用于web网站入侵
密码数据库一旦被攻陷,如果该网站的密码数据库未经加密,那你的密码就等同于裸露在黑客面前,之前爆出的“CSDN密码外泄门”就是明文储存密码,即使网站做了加密处理,也同样有被破解的风险。
更严重的是,「拖库」还会波及你在互联网上其他账户。在通过「拖库」之后,黑客会先「洗库」,也就是通过黑色产业链将有价值的个人信息变现,比如盗取网游装备、Q币,或者把你的身份证号和手机号码等个人信息卖给垃圾广告公司。
被洗库是一件很严重的事情
经过几轮「洗库」之后,你帐号本身的价值已经被榨取干净。
于是黑客会继续「撞库」,也就是拿着你的帐号密码,去尝试登录其他网站或者平台,获取更多的个人信息。如果你习惯用同一套帐号密码的组合,那损失将不可估量。
撞库用已知的账户密码登录其他平台
最后,这些被拖库的信息还会被打包,做成「社工库」,在黑色产业链上出售,压榨最后一波价值。
拖库、洗库、撞库、社工库
曾经引起轩然大波的「开房记录查询」,就是一个典型的社工库案例。
典型的社工库案例
为了防止被「拖库」,目前网站大多会在服务器上通过哈希算法或者「加盐」等方式,加密保存用户信息。
哈希算法加密用户信息防止拖库
这样即便被拖库,黑客也需要花许多时间解密,给网站和用户更多的反应时间,及时修改密码,最大程度降低损失。
数字签名、安全工具
而作为个人,我们能做的就是使用密保卡、动态令牌,或者手机验证码等安全工具,给自己的帐号提供第二层保护,这样即便被拖库,黑客也无法登录你的帐号。
动态令牌、U盾、密保卡、验证码
四:社会工程学
“社会工程学”的定义是:社会工程学指利用人性的弱点操纵他人,通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。
社会工程学
实际上,在目前的信息安全领域,最薄弱的环节不是技术,而是技术背后的人。假如你真的被人盯上,那黑客们往往会直接「骗」走密码。
短信诈骗、电话诈骗、网络钓鱼
普通人也可能碰上类似手段。比如你可能收到过奇怪的安全提示邮件,要求你点开网址,修改密码。
奇怪的安全邮件
这其实就是有人利用恐惧心理,通过钓鱼邮件和钓鱼网站,蒙骗你主动交出帐号密码。
公民个人信息安全
而黑客盗取密码的方式五花八门,所以小伙伴们,要防止密码被盗,我们需要睁大眼睛,仔细甄别,时刻保持警惕!养成以下良好的习惯!
一、尽量设置包含数字,字母和符号组合的复杂的密码,不要图一时的方便省事而给黑客造成可乘之机;
二、PC端登QQ时采用手机验证,尽量不在网吧登陆QQ;
三、不同网站要设置不同的登陆密码,并定期进行修改,一个万年不变的登陆密码会给黑客大开撞库的方便之门;
四、下载软件时尽量在官网或正规网站下载,并定期对手机和电脑杀毒,防止木马病毒入侵;
五、不打开来历不明的文件、链接或小程序,这些很可能是黑客设置的钓鱼陷阱,对于非官方途径收到的修改密码等通知,不要理会,对于要输入自己密码的情况要保持谨慎评估可能存在的盗号风险。
做到以上几点,就能有效保护我们的信息安全,不给黑客可乘之机