近日，F(xiàn)acebook的聯(lián)合創(chuàng)始人兼CEO馬克·扎克伯格又上了頭條新聞，原因卻是因?yàn)樗褂昧藰O其簡(jiǎn)單的賬號(hào)密碼，導(dǎo)致自己的Twitter、Pinterest等多個(gè)社交賬號(hào)被盜。

當(dāng)人們發(fā)現(xiàn)扎克伯格被盜的Twitter的時(shí)候，上面上赫然寫(xiě)著“你在Linkedin的密碼是dadada!”，同時(shí)他的的Pinterest賬戶上的標(biāo)題也變成了 “是黑客組織OurMine Team 攻擊的！”

顯然，這是黑客的挑釁和對(duì)此次“戰(zhàn)績(jī)”的炫耀。一個(gè)擁有有超過(guò)4萬(wàn)名成員的沙特阿拉伯黑客組織“OurMine"，聲稱(chēng)對(duì)此次事件負(fù)責(zé)，不但到處吹噓自己的戰(zhàn)績(jī)，還邀請(qǐng)?jiān)瞬窦尤胨麄兊慕M織。

盜走扎克伯格的賬號(hào)，看起來(lái)似乎很厲害。然而賬號(hào)安全團(tuán)隊(duì)Secken（洋蔥）的成員卻表示，從目前的報(bào)道情況看來(lái)，黑客入侵扎克伯格的 twitter 賬號(hào)似乎并沒(méi)有使用什么高明的手法，他們使用的方法甚至只要是掌握了基本的計(jì)算機(jī)操作能力的人都能夠輕而易舉的完成。

| 簡(jiǎn)單卻屢試不爽的盜號(hào)手法

相關(guān)報(bào)道中稱(chēng)，黑客自己承認(rèn)了這次的成功盜號(hào)都得益于幾周前大量泄密的 LinkedIn 密碼。通過(guò)這一線索，可以初步判斷黑客采用的是“撞庫(kù)”的盜號(hào)手法。

所謂撞庫(kù)，就是黑客獲取用戶的某個(gè)網(wǎng)站賬號(hào)的密碼后去其他網(wǎng)站嘗試登錄，如果用戶在多個(gè)網(wǎng)站使用了同樣的賬號(hào)密碼，那么黑客則可以入侵所有使用相同密碼的的賬號(hào)。

打個(gè)比方，用戶在許多地方的門(mén)上用的是同樣的鎖和同樣的鑰匙，只要拿到其中一把鑰匙，就可以開(kāi)啟所有的門(mén)。

也就是說(shuō)，當(dāng)黑客拿到 LinkedIn的1.17億個(gè)賬號(hào)密碼數(shù)據(jù)庫(kù)后，會(huì)拿著這“1.17億把鑰匙”去不同的網(wǎng)站碰碰運(yùn)氣，撞庫(kù)，撞到一個(gè)是一個(gè)。由于黑客可以使用程序腳本加快撞庫(kù)的速度，所以基本上只要有人在多個(gè)網(wǎng)站使用了相同的賬號(hào)密碼，而其中任一網(wǎng)站將密碼泄露，則其他網(wǎng)站幾乎都難以幸免。

扎克伯格如今就是“被撞庫(kù)大軍”中的一員，他的的 Twitter 和 Pinterest 賬號(hào)被盜，正是因?yàn)樗?Linked 和 Twitter、Pinterest 幾家網(wǎng)站使用了同樣的密碼——“dadada”。而扎克伯格的 Google+（谷歌旗下的社交網(wǎng)站）和 Facebook 并沒(méi)有被盜，則說(shuō)明很可能使用了其他密碼。

| 撞庫(kù)盜號(hào)三步走

明白了撞庫(kù)的原理就會(huì)發(fā)現(xiàn)，其實(shí)黑客此次盜走扎克伯格賬號(hào)的手法并不需要太多技術(shù)含量，他們也許只做了這幾步：

• 第一步，拿到LinkedIn泄露出來(lái)的數(shù)據(jù)庫(kù)
  

幾周前， LinkedIn 泄露的數(shù)據(jù)庫(kù)就被放在了網(wǎng)上公開(kāi)售賣(mài)，因此只要給錢(qián)誰(shuí)都能買(mǎi)到。

即使不給錢(qián)也很容易在其他購(gòu)買(mǎi)者手里分享到，一般大部分購(gòu)買(mǎi)者都不會(huì)藏著掖著，會(huì)分享出來(lái)，甚至有的人會(huì)直接將解密后的明文賬號(hào)密碼數(shù)據(jù)分享出來(lái)。

• 第二步 解密數(shù)據(jù)并找到扎克伯格的密碼

據(jù)了解，泄露出來(lái)的 LinkedIn的密碼為SHA-1純加密，在一些提供在線解密的網(wǎng)站就可以直接解密，解密之后所有的密碼信息以明文的形式展現(xiàn)。而解密之后，根據(jù)扎克伯格的名字很容易就可以找到他的密碼信息。

• 第三步，嘗試登錄扎克伯格的其他賬號(hào)
  

拿到他的 LinkedIn 賬號(hào)賬號(hào)之后，直接去嘗試登錄他的其他社交賬號(hào)、郵箱等，然后在多次嘗試之后成功登錄了Twitter和Pinterest。然后搞點(diǎn)小動(dòng)作，坐等上頭條。

正如前文所說(shuō)，一個(gè)較為熟悉互聯(lián)網(wǎng)的人，根據(jù)這三個(gè)步驟，都可以輕而易舉地盜走扎克伯格的 twitter 賬號(hào)。事實(shí)上，像扎克伯格所使用的“dadada”這樣的簡(jiǎn)單密碼，即使用最普通的暴力破解軟件，也只需要不到半小時(shí)就能搞定。所以對(duì)于此次賬號(hào)被盜，小扎自己的賬號(hào)安全習(xí)慣是主要原因。

| 如何避免賬號(hào)被盜的多米諾效應(yīng)？

其實(shí)，生活中許多人都有過(guò)類(lèi)似賬號(hào)被盜的經(jīng)歷，大部分人也已經(jīng)習(xí)慣了在多個(gè)網(wǎng)站使用相同的密碼。有的人使用一套密碼，有的人則是3~4 套密碼，最終都導(dǎo)致一樣的結(jié)果：各種各樣的網(wǎng)站賬號(hào)關(guān)系交織混亂，無(wú)論使用了多么復(fù)雜的密碼，只要其中一個(gè)網(wǎng)站不慎發(fā)生了密碼泄露，其他網(wǎng)站賬號(hào)都將受到牽連。甚至當(dāng)你得知其中一個(gè)網(wǎng)站發(fā)生了數(shù)據(jù)泄露的消息，卻根本無(wú)法準(zhǔn)確地想起來(lái)哪些網(wǎng)站使用了相同的密碼，更不用提逐個(gè)去修改。

防止賬號(hào)相互牽連，Secken洋蔥團(tuán)隊(duì)給出的建議是：“要么老老實(shí)實(shí)用不同的密碼，要么別用密碼，改用其他方式登錄或者添加二步驗(yàn)證?！?/span>

給不同的賬號(hào)設(shè)置不同的密碼，顯然是最直接有效的方式，然而當(dāng)密碼多起來(lái)之后，經(jīng)常容易忘記，這時(shí)可以借助密碼管理工具，然后將這些網(wǎng)站統(tǒng)一管理起來(lái)，這樣既不用擔(dān)心賬號(hào)相互牽連，也不怕忘記。同時(shí)大部分的密碼管理器還帶有生成難破解的隨機(jī)密碼的功能，可以極大提高密碼的安全性。常見(jiàn)的收費(fèi)密碼管理軟件有1password、Lastpass等，免費(fèi)的也可使用諸如洋蔥一類(lèi)的密碼管理。

如果依然覺(jué)得太麻煩，可以盡量使用非賬號(hào)密碼的方式來(lái)登錄賬號(hào)，比如微信、QQ、微博授權(quán)登錄等，避免賬號(hào)密碼的使用，也就間接降低了密碼被盜的風(fēng)險(xiǎn)。

事實(shí)上，不安全的密碼習(xí)慣在工作中比在日常生活中更加常見(jiàn)。據(jù)Secken團(tuán)隊(duì)的調(diào)查數(shù)據(jù)，和私人的賬號(hào)密碼相比，人們?cè)谠O(shè)置工作賬號(hào)的密碼時(shí)，往往更加“不上心”。許多員工使用自己的私人賬號(hào)時(shí)會(huì)認(rèn)真設(shè)置復(fù)雜的密碼，使用工作賬號(hào)卻更傾向于使用簡(jiǎn)單以及相同的賬號(hào)密碼。

然而企業(yè)又難以強(qiáng)制員工使用復(fù)雜、不同的賬號(hào)密碼，即使強(qiáng)制使用復(fù)雜密碼，員工一樣可以寫(xiě)在便簽上、放在云筆記等不安全的地方，而且強(qiáng)制使用復(fù)雜密碼也必將大大降低員工的工作效率，輸錯(cuò)密碼、忘記密碼等情況會(huì)出現(xiàn)的更頻繁。

這時(shí)企業(yè)則可以用其他的方法，比如利用簡(jiǎn)單的手機(jī)認(rèn)證或者人臉、聲音、指紋的方式來(lái)替代賬號(hào)密碼，不使用密碼，杜絕賬號(hào)密碼泄露，員工也免去了記憶密碼和輸入繁瑣的煩惱。

當(dāng)然，在黑客的世界里，哪里還有秘密可言。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。