撞库攻击：每个账号一个密码？真让人头大

撞库攻击：每个账号一个密码？真让人头大小编曾经在贴吧上看到一个段子，说为什么我们会忘记我们自己设置的密码呢，作者说首先他设置了一个自己常用的密码，就用8位的生日好了，比如20000101(2000年1月1日)。然后系统就提示了，这个密码长度太短，不安全，要改成11位以上的，还要字母和数字结合。

过了很久之后，当我们的张三登陆这个账号时，系统提示【请输入密码】，他想了想，20000101？不对。zs20000101？也不对。ZS20000101？还是不对。密码就再也想不起来了。我们在设置密码的时候，会被系统提出各种要求来加强我们的密码，系统是出于好意，长一点复杂一点的密码破译难度是比较大的，但是对于用户来说记忆难度也增大了。

于是很多用户，包括小编在内，选择注册各种网站和应用账户的时候，都用同一套密码。只要我设置的这个密码满足各种严格的要求，比如11位以上、中英文都要有、大小写也都要有，这样就能保证达到绝大部分系统的要求，我就不需要修改我的密码。但是也有攻击者利用了用户的这种心理，想出了撞库攻击的办法。

撞库攻击在技术操作上并不难，当攻击者得到一些已经被泄露出来的用户名和密码信息之后，他就尝试用这个用户名和密码去登陆其他的网站，看有没有这个人的用户存在，大多数时候撞库攻击的效果比较好，尤其是在我们一部手机走天下的时代，大家的账户基本都是手机号注册的。

说到撞库呢，就顺便聊聊和它相关的拖库和洗库。拖库是指黑客的一种行为，当黑客登陆到一个网站或者一个系统的时候，因为信息都是存放在数据库当中的，所以他最简单粗暴获得信息的方式就是把数据库下载下来，就叫做拖库。拖库几乎是一个必备的做法，但是撞库和洗库不是，只有在黑客希望将越权盗取的信息变现的时候，才会进行洗库操作。

密码的安全值得我们重视起来，如果是因为撞库攻击这种没有很高技术含量的原因蒙受了损失，是特别低级的。曾经在一名网络安全工作者的讲座上他调侃道，如果要我去破解一个人的6位数字密码，大多数都是自己的生日、爱人的生日、家人的生日，逃不出这些。安全的事情不能一笑了之，也不能心存侥幸，我们要想些办法来保护自己的账号和财产安全。