近日，F(xiàn)acebook的聯(lián)合創(chuàng)始人兼CEO馬克·扎克伯格又上了頭條新聞，原因卻是因為他使用了極其簡單的賬號密碼，導(dǎo)致自己的Twitter、Pinterest等多個社交賬號被盜。

當人們發(fā)現(xiàn)扎克伯格被盜的Twitter的時候，上面上赫然寫著“你在Linkedin的密碼是dadada!”，同時他的的Pinterest賬戶上的標題也變成了 “是黑客組織OurMine Team 攻擊的！”

顯然，這是黑客的挑釁和對此次“戰(zhàn)績”的炫耀。一個擁有有超過4萬名成員的沙特阿拉伯黑客組織“OurMine"，聲稱對此次事件負責(zé)，不但到處吹噓自己的戰(zhàn)績，還邀請扎克伯格加入他們的組織。

盜走扎克伯格的賬號，看起來似乎很厲害。然而賬號安全團隊Secken（洋蔥）的成員卻表示，從目前的報道情況看來，黑客入侵扎克伯格的 twitter 賬號似乎并沒有使用什么高明的手法，他們使用的方法甚至只要是掌握了基本的計算機操作能力的人都能夠輕而易舉的完成。

| 簡單卻屢試不爽的盜號手法

相關(guān)報道中稱，黑客自己承認了這次的成功盜號都得益于幾周前大量泄密的 LinkedIn 密碼。通過這一線索，可以初步判斷黑客采用的是“撞庫”的盜號手法。

所謂撞庫，就是黑客獲取用戶的某個網(wǎng)站賬號的密碼后去其他網(wǎng)站嘗試登錄，如果用戶在多個網(wǎng)站使用了同樣的賬號密碼，那么黑客則可以入侵所有使用相同密碼的的賬號。

打個比方，用戶在許多地方的門上用的是同樣的鎖和同樣的鑰匙，只要拿到其中一把鑰匙，就可以開啟所有的門。

也就是說，當黑客拿到 LinkedIn的1.17億個賬號密碼數(shù)據(jù)庫后，會拿著這“1.17億把鑰匙”去不同的網(wǎng)站碰碰運氣，撞庫，撞到一個是一個。由于黑客可以使用程序腳本加快撞庫的速度，所以基本上只要有人在多個網(wǎng)站使用了相同的賬號密碼，而其中任一網(wǎng)站將密碼泄露，則其他網(wǎng)站幾乎都難以幸免。

扎克伯格如今就是“被撞庫大軍”中的一員，他的的 Twitter 和 Pinterest 賬號被盜，正是因為他在 Linked 和 Twitter、Pinterest 幾家網(wǎng)站使用了同樣的密碼——“dadada”。而扎克伯格的 Google+（谷歌旗下的社交網(wǎng)站）和 Facebook 并沒有被盜，則說明很可能使用了其他密碼。

| 撞庫盜號三步走

明白了撞庫的原理就會發(fā)現(xiàn)，其實黑客此次盜走扎克伯格賬號的手法并不需要太多技術(shù)含量，他們也許只做了這幾步：

• 第一步，拿到LinkedIn泄露出來的數(shù)據(jù)庫
  

幾周前， LinkedIn 泄露的數(shù)據(jù)庫就被放在了網(wǎng)上公開售賣，因此只要給錢誰都能買到。

即使不給錢也很容易在其他購買者手里分享到，一般大部分購買者都不會藏著掖著，會分享出來，甚至有的人會直接將解密后的明文賬號密碼數(shù)據(jù)分享出來。

• 第二步 解密數(shù)據(jù)并找到扎克伯格的密碼

據(jù)了解，泄露出來的 LinkedIn的密碼為SHA-1純加密，在一些提供在線解密的網(wǎng)站就可以直接解密，解密之后所有的密碼信息以明文的形式展現(xiàn)。而解密之后，根據(jù)扎克伯格的名字很容易就可以找到他的密碼信息。

• 第三步，嘗試登錄扎克伯格的其他賬號
  

拿到他的 LinkedIn 賬號賬號之后，直接去嘗試登錄他的其他社交賬號、郵箱等，然后在多次嘗試之后成功登錄了Twitter和Pinterest。然后搞點小動作，坐等上頭條。

正如前文所說，一個較為熟悉互聯(lián)網(wǎng)的人，根據(jù)這三個步驟，都可以輕而易舉地盜走扎克伯格的 twitter 賬號。事實上，像扎克伯格所使用的“dadada”這樣的簡單密碼，即使用最普通的暴力破解軟件，也只需要不到半小時就能搞定。所以對于此次賬號被盜，小扎自己的賬號安全習(xí)慣是主要原因。

| 如何避免賬號被盜的多米諾效應(yīng)？

其實，生活中許多人都有過類似賬號被盜的經(jīng)歷，大部分人也已經(jīng)習(xí)慣了在多個網(wǎng)站使用相同的密碼。有的人使用一套密碼，有的人則是3~4 套密碼，最終都導(dǎo)致一樣的結(jié)果：各種各樣的網(wǎng)站賬號關(guān)系交織混亂，無論使用了多么復(fù)雜的密碼，只要其中一個網(wǎng)站不慎發(fā)生了密碼泄露，其他網(wǎng)站賬號都將受到牽連。甚至當你得知其中一個網(wǎng)站發(fā)生了數(shù)據(jù)泄露的消息，卻根本無法準確地想起來哪些網(wǎng)站使用了相同的密碼，更不用提逐個去修改。

防止賬號相互牽連，Secken洋蔥團隊給出的建議是：“要么老老實實用不同的密碼，要么別用密碼，改用其他方式登錄或者添加二步驗證?！?/span>

給不同的賬號設(shè)置不同的密碼，顯然是最直接有效的方式，然而當密碼多起來之后，經(jīng)常容易忘記，這時可以借助密碼管理工具，然后將這些網(wǎng)站統(tǒng)一管理起來，這樣既不用擔(dān)心賬號相互牽連，也不怕忘記。同時大部分的密碼管理器還帶有生成難破解的隨機密碼的功能，可以極大提高密碼的安全性。常見的收費密碼管理軟件有1password、Lastpass等，免費的也可使用諸如洋蔥一類的密碼管理。

如果依然覺得太麻煩，可以盡量使用非賬號密碼的方式來登錄賬號，比如微信、QQ、微博授權(quán)登錄等，避免賬號密碼的使用，也就間接降低了密碼被盜的風(fēng)險。

事實上，不安全的密碼習(xí)慣在工作中比在日常生活中更加常見。據(jù)Secken團隊的調(diào)查數(shù)據(jù)，和私人的賬號密碼相比，人們在設(shè)置工作賬號的密碼時，往往更加“不上心”。許多員工使用自己的私人賬號時會認真設(shè)置復(fù)雜的密碼，使用工作賬號卻更傾向于使用簡單以及相同的賬號密碼。

然而企業(yè)又難以強制員工使用復(fù)雜、不同的賬號密碼，即使強制使用復(fù)雜密碼，員工一樣可以寫在便簽上、放在云筆記等不安全的地方，而且強制使用復(fù)雜密碼也必將大大降低員工的工作效率，輸錯密碼、忘記密碼等情況會出現(xiàn)的更頻繁。

這時企業(yè)則可以用其他的方法，比如利用簡單的手機認證或者人臉、聲音、指紋的方式來替代賬號密碼，不使用密碼，杜絕賬號密碼泄露，員工也免去了記憶密碼和輸入繁瑣的煩惱。

當然，在黑客的世界里，哪里還有秘密可言。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。