欢迎啊各位观众,帮忙点点关注、点点赞、点点在看,抱拳了!
先说建议
1️⃣ 使用复杂密码(一般来讲超过 12 位,不要有连续易于猜出的词,最好是字母 + 数字 + 特殊字符,例如星号、井号、括号之类)
2️⃣ 使用多重身份验证(短信、电话、邮件、软 Token 之类)
盗号的根源在哪?
我们先不讨论坏人盗号后的收益和法律法规,我们只把目光聚焦在盗号这个问题的技术层面,主要来源是两个点,第一点是服务提供者,第二点是我们用户自身。
先从服务提供者看,举个例子吧,如果你用的这个软件充满安全漏洞,密码明文(不加密不哈希,哈希也不加盐)存储,或者经常出现“串号”等问题,那入侵者完全可以利用软件的安全漏洞来盗号。
再从我们自己来看,如果我们设置的密码太简单,例如 abc123456,或者 qwer1234 这种,黑客可以很容易通过暴力破解(一个一个密码的硬试)或使用常见密码列表(字典,里面存储了他们收集到的大量常见密码)来拿下账户密码。
如何从根源上解决问题?
我们面对的实际情况是,服务提供者不可控,也就是说我们根本管不了软件开发者怎么做,做了啥,例如X族云服务串号问题,打开云相册发现这个账号不是自己的,全是别人的照片;再例如某视频 App 存储用户的密码都是明文,黑客进去直接一览无遗,类似的案例有很多。
既然服务提供者不可控,我们就只能尽量选择大厂的工具咯(虽然大厂内部也是一团乱麻,但总比小开发商强呀),来路不明的软件你如果硬要注册就去网上找个接码工具,随机找个手机号给你做验证。
另一方面就是,如果你需要在来路不明的软件上注册用户,用户名要随机(防撞),密码就随机生成一个,工具如下:
https://1password.com/zh-cn/password-generator
毕竟服务提供者不可控,我们只能尽可能用虚假身份、随机密码来避免不靠谱的服务提供商发生数据泄露咯。接下来重点说我们作为用户,自己做什么才能降低盗号风险吧!
🤔为什么复杂密码很重要
前面我说了,越复杂的密码就越难被黑客猜到,黑客破解密码就是先把常用密码和社工密码全试一遍,如果全都没中,他就只能暴力算,所以越长越复杂越独特的密码就越难被猜中!
做个简单的数学题,8位仅包含26个小写字母的密码,总的可能性是26的8次方,有2088亿种,云主机跑完也就几小时,多说就几天而已...这数字看起来唬人,但是在现代计算机下都不叫事儿...
12位包含大小写字母、数字以及10个特殊字符的密码,总可能性有1940841亿亿种😵💫
这是啥概念呢?理论上,使用一台每秒能尝试1亿次密码的电脑,穷举一个12位复杂密码(假设总共有约19408亿亿种可能性)所需的时间大约为615年...这难度完全不是一个量级的...
🤔 那多重身份验证呢?
多重身份验证就是我们账户的第二道锁,它的假设前提是,密码被黑客猜到之后,我们需要提供可信的形式来证明账户确实是属于我,而不属于黑客。
因此,为了证明这个账户真的属于你自己(也方便软件开发商甩锅🥲),多重身份验证或者说两步验证(这个用的多,就是验证你的密码和短信验证码)才会验证我们接收的短信、电话、邮件,更复杂的会用到软Token、实体USB安全令、指纹、虹膜等等。
小 Tips
1️⃣ 复杂密码你觉得难记住?那就设置歌词、古诗、电影台词缩写,再随机修改某些字符,例如,将字母O替换为数字0(但你别自己都搞忘了)!
⚠️ 但是一定不要傻傻的告诉别人!比如这样:
解释:池上碧苔三四点,叶底黄鹂一两声
密码:csbt34.ydhl12s
😂黑客也是上网冲浪的,ta看到之后就可以把密码收到字典中,就等于你的密码已经泄漏了哦!
2️⃣ 更专业的办法是部署一个私有化的密码管理器(私有化部署,尽量不要用云服务,但我估计对普通用户,非计算机行业从业者来说有点难度哇),每个账户都用随机长密码,然后存储到自己的密码管理器上,如果你要这样做的话,我强烈推荐Passbolt!
3️⃣ 国内的账户体系一般用短信验证码做二次验证,但我个人更喜欢Google/Microsoft Authenticator 这类软 Token,用短信验证码主要是为了推实名制...但是我个人认为,把手机号和你的账户绑定除了导致隐私泄露之外没啥好处,所以账户能用软Token我就用软Token,实在不行再绑定手机。
4️⃣ ⚠️密码一定要定期修改!不要所有的账户都用相同的密码❗️
无奖问答
SUMMER IS HERE
前面讲了那么多,各位读者可以开动你们的小脑瓜想一个问题哈:
为啥银行卡的取款密码只有六位数?难道银行是傻瓜?
SUMMER IS HERE
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...