近日，烏云網(wǎng)曝出大麥網(wǎng)（damai.com)用戶密碼數(shù)據(jù)庫在網(wǎng)上公開售賣，涉及用戶多達600余萬！

在利用密碼進行一次md5解密后，果然可登陸大麥網(wǎng)。

在對泄露數(shù)據(jù)中取出三個相鄰的賬號進行登錄，抓包分析其用戶ID是連續(xù)的，技術(shù)上已經(jīng)初步證明該數(shù)據(jù)有著很大的拖庫嫌疑。目前大麥網(wǎng)已確認用戶信息泄露消息的真實性，并緊急發(fā)布公告，通知大麥網(wǎng)用戶及時修改自己的密碼，另外也提前預(yù)防多出相同密碼造成的撞庫風(fēng)險。

什么是拖庫? 拖庫意味著什么？

拖庫，又叫“脫褲”，往往是由于一些小的網(wǎng)站服務(wù)器安全措施不到位，被黑客入侵，拖出數(shù)據(jù)庫，導(dǎo)出用戶名及密碼，然后在別的地方使用。例如以一定的價格售賣給網(wǎng)上的“好事者”。

撞庫，就是網(wǎng)上的“好事者”通過一些渠道獲取大量的用戶名和密碼，以此帳戶密碼去大的網(wǎng)站試登陸，（軟件自動進行，有的識別碼也能自動識別）撞到一個就OK。這就意味著，一旦用戶在多家站點使用相同的賬號密碼，只要其中一家因為安全措施不到位被拖庫，該用戶的所有賬戶信息都將受到威脅！

而事實上，獲取一個網(wǎng)站數(shù)據(jù)庫內(nèi)的數(shù)據(jù)并不一定需要非常高深的技術(shù)以及成本，一個掌握一些基礎(chǔ)黑客技術(shù)的人再加上一個功能強大效率較高的黑客工具，即可完成“拖庫”任務(wù)，而一旦非法獲取的數(shù)據(jù)庫被用于撞庫，往往將造成更大的危害。

拖庫危害——密碼泄露的多米諾效應(yīng)

2011年12月21日，某專業(yè)網(wǎng)站數(shù)據(jù)庫開始在網(wǎng)上被瘋狂轉(zhuǎn)發(fā)，包括600余萬個明文的注冊郵箱和密碼泄露，大批受影響用戶為此連夜修改密碼。此后，178游戲網(wǎng)等5家網(wǎng)站用戶數(shù)據(jù)庫又相繼公開，更有媒體曝光數(shù)十家大型網(wǎng)站已遭黑客“拖庫”，從而將2011年末的密碼危機推向高峰。正如四年前的密碼危機，如今600余萬大麥網(wǎng)用戶信息被網(wǎng)上公開叫賣，一旦被“有心人”加以利用，不斷撞庫其他網(wǎng)站，很可能會引發(fā)一系列密碼泄露的連鎖效應(yīng)，更多網(wǎng)站的數(shù)據(jù)會被黑客放出。

盡管關(guān)于如何設(shè)置高強度密碼的文章劈天蓋地，但很多網(wǎng)民仍習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼。

一旦數(shù)據(jù)庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個網(wǎng)站嘗試登錄。對普通用戶可能造成財產(chǎn)、個人隱私的損失或泄漏，詐騙者利用你的信息冒充客服進行一系列詐騙。而對一些敏感的金融行業(yè)的用戶來說，這甚至是致命的危害！

防止撞庫——你的密碼是否犯了“大忌”

根據(jù)2014年發(fā)生的某購票網(wǎng)站用戶信息泄露數(shù)據(jù)，對網(wǎng)民的密碼使用習(xí)慣調(diào)查，發(fā)現(xiàn)大量網(wǎng)民在設(shè)置密碼是犯了這些大忌，請檢查一下自己是否在其中：

一、密碼中包含常用詞匯、生日、手機號、姓名拼音或縮寫等；

二、從來不改密碼，一個密碼用很多年；

三、所有的密碼都保存在電腦里、瀏覽器中；

四、密碼長度過低、純數(shù)字；

五、不設(shè)置密保措施或二次驗證；

如果你在設(shè)置密碼時犯了這些“大忌”，那么你的賬號被盜的危險性也將提升，因此，養(yǎng)成一個良好的密碼使用習(xí)慣，對于保障賬戶安全是十分必要的。

提高賬戶安全的可選方案

一、設(shè)置高強度的密碼：形式上使用大寫字母、小寫字母、數(shù)字、非數(shù)字符號的組合；

二、經(jīng)常修改密碼：可定期更換密碼，每月或每一季更換一次，并且永遠不要把密碼明文寫在紙上；

三、在不同的網(wǎng)絡(luò)系統(tǒng)使用不同的密碼，對于重要的系統(tǒng)使用更為安全的密碼；

四、不將密碼保存在本地：常規(guī)瀏覽器保存密碼沒有一個很好的加密策略，這往往為黑客破解密碼大開方便之門；

五、使用更安全的認證方式：如果你覺得密碼太復(fù)雜記不住，可以采用掃描二維碼登錄、刷臉登錄、指紋識別登錄，每一種方式都比傳統(tǒng)密碼更安全便捷，只需在手機中安裝一款諸如洋蔥令牌的認證軟件即可實現(xiàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。