撞库攻击:每个账号一个密码?真让人头大

撞库攻击:每个账号一个密码?真让人头大小编曾经在贴吧上看到一个段子,说为什么我们会忘记我们自己设置的密码呢,作者说首先他设置了一个自己常用的密码,就用8位的生日好了,比如20000101(2000年1月1日)。然后系统就提示了,这个密码长度太短,不安全,要改成11位以上的,还要字母和数字结合。

过了很久之后,当我们的张三登陆这个账号时,系统提示【请输入密码】,他想了想,20000101?不对。zs20000101?也不对。ZS20000101?还是不对。密码就再也想不起来了。我们在设置密码的时候,会被系统提出各种要求来加强我们的密码,系统是出于好意,长一点复杂一点的密码破译难度是比较大的,但是对于用户来说记忆难度也增大了。

于是很多用户,包括小编在内,选择注册各种网站和应用账户的时候,都用同一套密码。只要我设置的这个密码满足各种严格的要求,比如11位以上、中英文都要有、大小写也都要有,这样就能保证达到绝大部分系统的要求,我就不需要修改我的密码。但是也有攻击者利用了用户的这种心理,想出了撞库攻击的办法。

撞库攻击在技术操作上并不难,当攻击者得到一些已经被泄露出来的用户名和密码信息之后,他就尝试用这个用户名和密码去登陆其他的网站,看有没有这个人的用户存在,大多数时候撞库攻击的效果比较好,尤其是在我们一部手机走天下的时代,大家的账户基本都是手机号注册的。

说到撞库呢,就顺便聊聊和它相关的拖库和洗库。拖库是指黑客的一种行为,当黑客登陆到一个网站或者一个系统的时候,因为信息都是存放在数据库当中的,所以他最简单粗暴获得信息的方式就是把数据库下载下来,就叫做拖库。拖库几乎是一个必备的做法,但是撞库和洗库不是,只有在黑客希望将越权盗取的信息变现的时候,才会进行洗库操作。

密码的安全值得我们重视起来,如果是因为撞库攻击这种没有很高技术含量的原因蒙受了损失,是特别低级的。曾经在一名网络安全工作者的讲座上他调侃道,如果要我去破解一个人的6位数字密码,大多数都是自己的生日、爱人的生日、家人的生日,逃不出这些。安全的事情不能一笑了之,也不能心存侥幸,我们要想些办法来保护自己的账号和财产安全。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181016A1W2R200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券