了解更多熱門資訊、玩機技巧、數碼評測、科普深扒，點擊右上角關注我們

----------------------------------

在2013年，有一個傳說彌漫在了IT圈：某家企業由于密碼防護意識不高，飽受密碼洩露之苦，決定痛定思痛，花一整天改掉企業所有的密碼，包括每一台路由器、服務器、數據庫、ISP賬戶、計算機，甚至是語音信箱。

在這家企業大規模更改之後，衆多業界巨頭中的程序員便紛紛響應，包括三星、微軟、宏碁等大廠。人們将每年的這一天——五月份第一個星期四稱為世界密碼日。

今天就是第八個世界密碼日，盡管人們對于隐私越來越重視，但由于密碼洩露導緻的損失卻進一步擴大。根據Juniper Research的調查，2011年，平均每次密碼洩露上面的損失為550萬美元，而到了2020年，平均損失額超過了1.5億美元。

今天，小雷就借着世界密碼日的機會，來給大家說一堂“密碼課”。

讓我們抛開密碼的防護問題，首先要承認一點的是，我們很多人從一開始的密碼編寫就做得遠遠不到位。

首當其沖的問題就是密碼設置過于簡單。在2013年的世界密碼日上，管理機構就公布了“最容易被攻破的密碼清單”，123456、111111等“經典密碼”赫然在目。

而糟糕的是，123456哪怕到今天，依然穩坐最簡單密碼的第一名，而其餘的密碼，也都是稍微嘗試下，就可以輕松竊取的用戶密碼。

根據統計機構SplashData的估計，從一份包含500萬個洩露的賬号清單進行統計，僅“123456”就有3%的用戶使用過，而前25名密碼的總使用人數加起來超過10%，達到了50萬人。

繼密碼設置過于簡單的問題後，下一個緻命要素則是同一密碼多處使用。例如銀行卡密碼和手機解鎖密碼都是同樣的六位數，所有網絡賬戶都用同一套密碼等。

這種密碼設置的方式，很容易遭到黑客的“撞庫”。黑客隻需要拿到一個網站的用戶賬戶和密碼，就将其寫入一個字典表中并上傳到相關論壇。其他黑客就可以在其他網站上進行暴力試錯，曾經iCloud的“豔照門”就是被部分黑客用其他網站洩露的密碼“撞庫”導緻的。

在今年的3月份，新浪微博就被曝光有5.4億用戶數據洩露。在調查之後，新浪微博發布公告稱，黑客不是通過攻破新浪數據庫來進行信息竊取，而是用其它網站上的電話号碼搜索 相同密碼撞庫來進行匹配。

在日益嚴重的密碼竊取事件中，電話号碼成為了黑客們的新目标。尤其是通過電話号碼登陸的社交類app，更是個人隐私洩露的重災區，部分網站的密碼找回機制，就能鎖定用戶的電話号碼，你也可以在無良網站上很輕易地買到電話清單。電話号碼本身的洩露問題已經很嚴重，垃圾短信、釣魚網站就已經成為了現代生活的一大痼疾，但黑客能從電話上獲取更多的信息。

在剛才微博的例子中，黑客所做的就是把用戶的電話号碼放到支付寶、QQ、微信等社交網站上進行搜索，得到用戶的姓名、昵稱等隐私信息，一個用戶的完整生态就此建立。

通過上述兩種方法，在互聯網上其實已經可以初步搜索到用戶的生活城市、工作職位以及個人履曆。這種搜索手段被稱為社會工程學（Social Engineering），通過合法手段，普通人就已經毫無隐私可言。而在暗網上，還有專門整理的社會工程學數據庫，定位更加精準。

接下來，黑客會通過郵件、短信等方式來試圖騙出你的密碼。黑客知道了你的大緻生活狀态，你會很輕易地相信對方是來自某個權威機構。譬如你收到了一封名為“您的apple id已被鎖定”釣魚郵件，很多用戶就會去虛假的蘋果網站上上輸入自己的賬号和密碼，黑客就會用它去撞庫匹配。

但即便電話号碼成為了如今數據的主要洩露方式，它依然是我們密碼保障的重要一環。短信驗證、雙重登陸、密碼找回都是重要的密碼保護方式，我國的實名認證也必須需要電話号碼，與其擔心号碼被不良商家販賣，不如接受現實，構造一個難以被攻破的密碼體系。

設置一套安全的密碼，說起來容易做起來難。雖然手機上已經可以通過密碼管理軟件來雲端存儲，但人的記憶力才是用戶最為信任的地方。對于習慣使用密碼管理軟件的同學們，小雷建議還是将備份抄寫在筆記本上攜帶，防止遺忘，也可以用md2等加密算法進行加密。而對于習慣大腦記憶的同學們，小雷準備了一套完善的“密碼分級”制度。

在設置密碼的過程中，重要的一步就是為密碼分級，那些小網站可以選擇好記安全性偏低的密碼，而重要賬号則使用安全性偏高的密碼。而郵箱作為接收網站驗證、私人消費記錄等重要場景，理應使用最複雜的密碼來進行防護，并且要勤更換。

例如網易郵箱，就在今天特地發布了一個倡議，網易表示，盡管通過各種安全手段，網易郵箱每年阻擋各類攻擊超過五十億次，但使用同一套賬号密碼依然伴随着巨大的風險，倡議用戶每年進行更換。為了讓老用戶更加快捷地更換密碼，網易也特地提供了賬号快捷入口，并建議用戶完成手機綁定和二次驗證。

在次一級的網站上，小雷建議可以使用通用密碼 網站後綴的方式使用，例如微博，可以在常規密碼之後加上weibo或者sina的後綴，常規密碼則使用幾個進行替換。我們之前說過，除非是定點爆破，否則黑客絕不會一個個用手打。這樣即使密碼丢失黑客利用腳本進行暴力匹配，放到其他網站上也過不去。

對于再次一級的網站，譬如一些用過就丢的資源站，小雷建議使用不常用的垃圾郵箱和通用的密碼進行注冊即可。通常可以使用一句話的縮寫，或者古詩詞的漢語拼音縮寫進行注冊。

在現代生活中，我們幾乎很難擁有着絕對隐私，但我們也不能對自己的賬戶安全“徹底躺平”。當今的互聯網生活中，依然隻有密碼才能讓我們保持住最後一絲安全，大企業的硬件加密和軟件防護都已經做得非常齊全。不要因為普通的“腳本小子”，就給自己糟糕的密碼管理買單，要輸，也要輸給大企業和頂級黑客。

----------------------------------

點擊文章頂部雷科技頭像，私信回複“搞機”，即可獲得玩機技能合集。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!