據(jù)中央廣播電視總臺(tái)中國(guó)之聲《新聞超鏈接》報(bào)道，在網(wǎng)絡(luò)時(shí)代，信息安全越來越受到重視和關(guān)注。近期，某位演員稱自己在某問答平臺(tái)賬號(hào)被盜一事就引起熱議。這片盜號(hào)的疑云，還從涉事平臺(tái)飄到了其賬號(hào)關(guān)聯(lián)的郵箱平臺(tái)頭上。

[[342757]]

第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告數(shù)據(jù)顯示，截至今年3月，有12.5%的受訪網(wǎng)民表示在過去半年上網(wǎng)過程中遭遇賬號(hào)或密碼被盜。

網(wǎng)絡(luò)賬號(hào)到底可能通過哪些方式被盜?哪些行為讓我們的網(wǎng)絡(luò)賬號(hào)更危險(xiǎn)?相應(yīng)地，要如何提升自己密碼、賬號(hào)的安全性?各平臺(tái)的程序員們會(huì)為守護(hù)用戶的賬號(hào)做什么?

網(wǎng)絡(luò)賬號(hào)是如何被盜走的?

盜號(hào)疑云從一個(gè)平臺(tái)飄向另一個(gè)平臺(tái)。

網(wǎng)絡(luò)賬號(hào)真的容易被盜嗎?

我們先看看網(wǎng)絡(luò)賬號(hào)可能是如何被盜走的?

如果我們?cè)O(shè)置了“123456”這樣的密碼，可能也不用思考這個(gè)問題了。

這類密碼可以說是讓采取“暴力破解”方式的盜號(hào)者不費(fèi)吹灰之力，就推開了我們虛掩的網(wǎng)絡(luò)賬號(hào)大門。

在得到用戶賬號(hào)名或手機(jī)號(hào)碼等信息后，盜號(hào)者就可以開始“撞大運(yùn)”用一些常用密碼或靠密碼字典去批量“撞”一批賬號(hào)。

密碼位數(shù)越多，數(shù)字、大小寫字母、符號(hào)等包含的元素變化越多，越難被遍歷窮盡，被“撞”對(duì)的幾率也就越小，密碼越?jīng)]有意義、沒有規(guī)律就越難被破解。

阿里安全高級(jí)安全專家永良還表示：“像123456或者‘I love you’，或者其他一些有意義的字符串，這種被暴力破解的成功概率還是較大的。無意義的字符串，長(zhǎng)度越長(zhǎng)的，被破解的難度越大?；旧?，10位以上的我覺得對(duì)于盜號(hào)者來說難度就已經(jīng)非常大了。”

那么，當(dāng)我們手握一組自己都可能不小心會(huì)記錯(cuò)的復(fù)雜密碼，網(wǎng)絡(luò)賬號(hào)們是不是就安全了呢?請(qǐng)注意這里所用的復(fù)數(shù)——網(wǎng)絡(luò)賬號(hào)們。

在保障網(wǎng)絡(luò)賬號(hào)安全上，“一招鮮，吃遍天”行不通。因?yàn)橐坏┻@個(gè)密碼在安全性比較差的平臺(tái)被泄露后，用著同樣用戶名和密碼的其他平臺(tái)的賬號(hào)可能也會(huì)被盜號(hào)。這就要說到“撞庫(kù)”和“刷庫(kù)”了。

永良介紹，用這樣的方式，黑客就要前提先有一批賬戶密碼列表。這可能是通過“釣魚”得到的，也可能是前期有人黑掉了一些網(wǎng)站，就把其數(shù)據(jù)庫(kù)拿出來，供隨意下載或在暗網(wǎng)販賣。

這樣一來，如果某賬戶已經(jīng)在某些社工庫(kù)里，或者因?yàn)槟承┚W(wǎng)站安全性較低而泄露了賬戶密碼，又在其他平臺(tái)使用了同樣的賬號(hào)密碼，那么，盜號(hào)者就可能直接用已經(jīng)獲得的信息，攻破新的平臺(tái)。

都說“狡兔三窟”，精明的網(wǎng)絡(luò)用戶也要多準(zhǔn)備一些密碼組合。

此外，“釣魚鏈接”也是比較常見的一種盜號(hào)方式。

它就像拿著原版鑰匙去配鑰匙一樣，能夠直接獲取用戶的賬號(hào)和密碼。

釣魚鏈接誘導(dǎo)進(jìn)入一個(gè)假冒的網(wǎng)站，讓用戶“認(rèn)錯(cuò)人”，從而套取到用戶賬號(hào)信息。

平臺(tái)如何對(duì)抗盜號(hào)?

各大平臺(tái)的程序員們有什么“大招兒”來守護(hù)自家用戶的賬號(hào)呢?

阿里安全高級(jí)安全專家永良表示，這既考驗(yàn)平臺(tái)的安全建設(shè)也檢驗(yàn)運(yùn)營(yíng)中識(shí)別攻擊等能力：“像阿里現(xiàn)在是基于新一代安全架構(gòu)進(jìn)行防護(hù)，怎么能在系統(tǒng)最初建設(shè)的時(shí)候就把安全能力、安全組件就融入進(jìn)去。另一個(gè)就是安全運(yùn)營(yíng)。比如說，同一個(gè)IP有大量的請(qǐng)求過來去刷賬戶和密碼，做登錄的請(qǐng)求。這種其實(shí)在去做的是機(jī)器流量的識(shí)別，怎么能夠在風(fēng)控算法這個(gè)角度來去判斷它是不是在一定的安全環(huán)境，這一次請(qǐng)求是本人的請(qǐng)求還是一些惡意的請(qǐng)求?賬號(hào)會(huì)不會(huì)被別人盜取，更多地還是在看平臺(tái)怎么去做賬戶保護(hù)。”

如何證明我是我?

安全程序員要怎么去做賬戶保護(hù)呢?本質(zhì)就是去識(shí)別這一次來登陸的人是不是賬號(hào)所有者本人。

程序員們?nèi)绾蝸砼袛嗟降资遣皇怯脩舯救嗽诓僮?

輸對(duì)用戶名和密碼只是一項(xiàng)基礎(chǔ)考察。

永良介紹，密碼是一個(gè)最基礎(chǔ)的信息，是一個(gè)單因子，平臺(tái)能夠做的其實(shí)是多因子認(rèn)證，像手機(jī)短信驗(yàn)證碼，綁定身份證號(hào)碼，設(shè)置安全問題等等，用更多的因素疊加起來去判斷。

但是，在提供其他個(gè)人信息去證明自己身份的時(shí)候，用戶可能也會(huì)擔(dān)心，如果我這個(gè)賬號(hào)被盜了，盜號(hào)的人是不是也就直接掌握了我的其他信息呢?一丟丟一串，會(huì)這樣嗎?

永良表示，從系統(tǒng)設(shè)計(jì)角度來看，拿到賬戶權(quán)限和能不能拿到這些綁定的基礎(chǔ)信息是兩回事。大部分網(wǎng)站會(huì)做一些模糊化的處理，比如，只能看到身份證號(hào)的前幾位和后幾位，中間是被模糊處理掉，是看不到的。

最后，還有一個(gè)地方可能會(huì)被普通用戶忽略，那就是所使用的網(wǎng)絡(luò)本身。

專家提醒，盡可能不要去用公共WiFi或者一些不安全的網(wǎng)絡(luò)，因?yàn)樗赡苋プ鲆恍┝髁拷俪?，有可能?huì)把一些重要的賬號(hào)密碼，甚至cookie都拿走。這取決于會(huì)不會(huì)有人在 WiFi上做手腳，或者說，有沒有攻擊者獲得了對(duì)應(yīng)的權(quán)限。有沒有這個(gè)風(fēng)險(xiǎn)，個(gè)人用戶是沒法判斷的。