贴近身边却又鲜为人知，账号、密码安全关系你我他

哈喽，大家好，我是娇羞的小猛禽~

看文章前先送大家一只可爱养眼的小帅哥~只有你开心，宝宝的文章才有意义~

下面进入正题！

现实生活中，多数人在获取网络资源的时候，都是通过网页浏览器或者移动客户端来完成的。这种网络我们暂时称之为“明”网。

还有另外一个比“明”网要大几个数量级，简直就是冰山一角。但是这种网络通常一般人是无法直接获取里面的信息。这叫【暗网】，也叫不可见网，隐藏网，是指那些存储在网络数据库里、但不能通过超链接访问而需要通过动态网页技术访问的资源集合，不属于那些可以被标准搜索引擎索引的表面网络，而这里就是黑客遨游的部落，也是犯罪的高发地带。

因为在暗网市场，人们可以买到任何东西，包括毒品、武器等等。目前世界上最大的两个暗网市场，Hansa和AlphaBay已被关停。

而近日传来消息，暗网监控公司 4iQ发现了高达 41GB 的数据文件，其中包含 14 亿个明文存储的账号邮箱和密码等登录凭证。研究人员认为，这是迄今为止在暗网中发现的最大的数据库集合。即使是新手黑客，也可以通过购买数据库的账号密码信息，从而进行攻击。

此前，发生过的最大的数据库泄露是Exploit.in泄露的5.93 亿账户和Onliner Spambot泄露的7.11 亿账户。

这次数据库是于2017 年 12 月 5 日在暗网论坛上发现的，数据库中包含的明文登录凭证具体数值是 1400553869。4iQ 的 Julio Casal 解释道，这个数据库使查找密码的速度比以前更快，更容易。他举例一个例子，在搜索「admin」、「administrator」和「root」这些常用的默认用户名时，几秒之内就返回了 226631 个管理员用户的密码。据了解，有了这些默认的用户名和密码，黑客利用最基础的技术，就能发动攻击。

4iQ 给出了排行前 40 的最常用的密码排行表。表中使用弱密码的人还有非常多，可见大家都没有从中吸取教训。而123456仍然是最常用的密码。据悉，这次发生的数据库泄露事件，很多厂商均中招了。虽然只是一些老数据库，但这只是黑产中的冰山一角。

那把密码设置得复杂一点，就可以保证安全了吗？

国内其实早有相关的报导，央视在今年 3 月份报导了一起离奇的诈骗案件，受害人银行卡里的存款突然就消失了，而在这前后也没有收到恶意的电话和短信，手机也没有中毒。后来经过调查发现，这是一起"撞库"攻击，简单来说就是，黑客从其他网站中盗取受害人的账号及密码，然后尝试进入受害人的手机银行进行登陆，结果成功匹配成功了，便盗取了所有的财产。所以，密码设置的不一致就非常必要了，不过密码太复杂太多，会带来更多的不便。那我们应该通过什么样的技术手段，保证安全呢?

很多人第一时间想到了【短信验证码】，用户只需填写手机号码，点击【获取验证码】，输入验证码就能登录了。但这种技术实际上并不安全，根据猎豹安全实验室的云端监控数据显示，近 1 个月截获的【短信拦截】类样本变种数量超过 10 万，影响用户数达数百万之多。

中国海天集团有限公司创始人兼 CEO Seeker 曾在黑客大会展示了一种名为【LTE/4G 伪基站+GSM 中间人攻击】的技术，只需很低的成本，背上一个小背包，就能攻击附近的人。他后来向媒体表示，最坏的情况是，黑客能以每秒 20 个手机用户的速度血洗银行账户。

图片来源：黑客 KCon 大会（破解短信验证的测试环境）

图片来源：黑客 KCon 大会（破解短信验证的测试环境）

随着科技的发展，越来越多人认为【生物识别技术】会解决这个问题。通过指纹、人脸、声频识别来验证登录。但这却带来了更大的风险。

2009 年，印度政府启动一个生物识别数据库的新身份项目，该项目名为 Aadhaar，收集超过 10 亿人口的姓名、地址、手机号以及可能更为重要的指纹、相片和虹膜扫描，印度人生活的方方面面都需要这个项目，但随之而来的是后果不可估量的数据泄露事件。

后来，据外媒报导，印度执法部门 RTI 于近期发现超过 210 家政府网站在线曝光了 Aadhaar 的详细信息。虽然数据泄露的严重程度没有公布，但这一定会带来严重的后果。生物识别技术和密码不同，密码可以更换，而指纹等生物特征则无法更换，所以在没有完备的计划方案和技术支持，越安全的方式反而会带来更多更长久的隐患！

苹果在很早以前就考虑到了这一点，在设计 iPhone 5s 时采用 A7 主芯片，其中包含了名为【Secure Enclave】的高级安全架构，专门用于保护密码和指纹数据。Touch ID 不会储存指纹的任何图像，而仅依赖数学表示形式。任何人都不可能通过逆向工程从这种储存数据中获得实际的指纹图像。但是，业内人士告诉极客公园，并不是所有的公司都像苹果一样注重安全，有些公司会将生物识别的数据存在云端，还是存在泄露的风险。

另外，数字证书作为一种权威的电子文档，它的安全性和应用领域也是举世瞩目的。

数字证书由权威的第三方机构或企业级系统进行签发，它可以用来识别人员身份。其优点是想要伪造和截获它是异常困难的。因此，它被广泛应用于网上银行、电子政务、电子商务、企业内部应用、电子招投标等对于信息安全等级要求较高的场景。

其实，任何一种方式都存在被破解的可能。所以，很多人都提出了利用【双因子验证】的方法来解决上述问题，也就是结合密码和实物(信用卡、SMS 手机、令牌或指纹等生物标志)。例如，当使用声纹识别验证时，VoiceGesture 技术能让智能手机传输超出用户脸部的超声波，以此确认声音是否由真实用户发出。实际上，随着人工智能的到来，很多公司提出了用人工智能分析用户的行为，以此确定你是否是一个真实的用户。

如果喜欢宝宝的文章，请伸出你可爱的小拇指点赞、评论、转发。宝宝会不断提供优质的科技类文章，谢谢！么么哒~

我是娇羞的小猛禽，怕迷路，点关注~拜拜！