他可能知道你的密碼！

虎符

說在話前：

虎符，古代皇帝用於調兵遣將用的兵符，由於士兵們分布很遠，通信不便，皇帝通過秘制的銅老虎（上面還印有不同風格的花紋和文字）劈成兩半，一半在皇帝手上，一半在任命官員的手上。當兩個半身虎符嚴絲合縫的合併，方可獲得調兵權。否則再大的官員也只能按兵不動（避免造反）。今天微臣想告訴陛下！您的虎符全部被人臨摹了一份！

一個密碼走遍天下

丟了一個密碼有多可怕！入題前，我們先來講個故事吧！

有一天小格找到小物，說小物哥們，我有個遊戲帳號送你吧，密碼是987654，你先去改密碼吧,但是我裡面有幾個玩得很好的好友，先不要刪，這幾天忙過幾天找你備份下你再刪！

隔天小格又打電話給小物，緊張的對小物說：「緊急需要聯繫個好友，請把密碼告訴我一下！」。

小物心裡一想本來這個號就是他的告訴他密碼又何妨於是告訴小格密碼改為：「555555」。

結果小格，不是拿著這個密碼打開遊戲，而是打開了小物的6位數QQ,打開了電子郵箱，匿名發了借錢消息，並且把小物的遊戲裝備全部偷走。。。。。。

怪就怪小物一個密碼走遍天下！小格和小物只是個案例，通常還有很多釣魚網站會「叼走」您的密碼！一旦被釣魚就全部丟了！

他知道了你的密碼！

他知道了你的密碼！繼續討論這個話題之前，我們先來看下互聯網驗證密碼的過程，主要分為以下兩個個步驟：

1.註冊過程2.登錄過程

註冊步驟：用戶填寫用戶名和密碼傳輸到伺服器永久儲存。

登錄步驟：用戶名和密碼傳輸到伺服器對比是否和註冊保存的一致，如果一致則登錄成功，否則提示用戶密碼錯誤。

那麼問題來了！網站管理員竟然可以在伺服器上面查看到我註冊保存在伺服器上面的用戶名和密碼！我我我，一個密碼走遍天下！

GIF

然鵝！他們竟然丟了！

不僅如此，我們再來看看還有更嚴重的！這些伺服器數據竟然被盜了！而且有的還被拷貝了好多份！以下羅列了幾個大網站的安全事件。

2018年4月Facebook宣稱的8700萬用戶數據泄漏。

2017年8月雅虎母公司美國威瑞森電信公司宣布雅虎30億雅虎帳號早在2013年就全部遭到入侵，受害規模是最初估測結果的三倍。

2017年11月優步信任首席執行官宮達拉·霍斯勞紗希披露了2016年，有黑客竊取了5700萬優步用戶數據。

2017年12月安全公司4iQ發現暗網上（同時也在Torrent上發布）流傳著一個新的資料庫。該資料庫中包含14億明文用戶名和密碼！

同樣是2017年尚處於試用期的網路工程師鄭某鵬系2016年6月底入職京東，短短几月50億條公民信息被盜取，而嫌疑犯被傳是京東網路安全部員工，與黑客長期相互勾結。

時代華納30W客戶數據泄露、凱悅連鎖酒店318家酒店客戶信息被竊取、蘋果App Store逾千應用存漏洞、信誠人壽信息安全曝漏洞、淘寶網2000多萬數據遭泄露、水牢漏洞威脅我國十餘萬家網站、土耳其現5000w公民信息泄露事件、Verizon 150萬客戶記錄遭泄露、學信網數據泄露、20萬兒童信息被打包出售、網曝Jeep上1.5萬車主信息遭泄露、俄國黑客盜取2.73億郵箱信息、MySpace 4.27億數據泄漏、班納健康中心370萬患者信息遭泄露、六千嬰兒視頻泄露、MongoDB再出安全事故5800萬商業用戶信息泄露、257萬條公民銀行個人信息被泄露銀行行長賣賬號、美國最大成人交友網站4.12億帳號信息泄露、京東12G數據包在黑市反覆售賣。知名連鎖酒店桔子、錦江之星、速八、布丁；高端酒店萬豪（麗思卡爾頓酒店等）、喜達屋（喜來登、艾美酒店等）、洲際（假日酒店等）網站存在高危漏洞——房客開房信息大量泄露，一覽無餘，黑客可輕鬆獲取到千萬級的酒店顧客的訂單信息，包括顧客姓名、身份證、手機號、房間號、房型、開房時間、退房時間、家庭住址、信用卡後四位、信用卡截止日期、郵件等等大量敏感信息。（本段信息搜索自網路。。。。由於篇幅的原因大家可以自己搜索驗證，這些只是冰山一角，就不再一一羅列了。你只需要知道你的密碼可能已經丟了即可！）

大數據清洗

我們來推斷一下一個信息系統一旦被「脫褲」（ps:非法將資料庫拖走），黑客會怎麼利用呢？先勒索一筆錢！如果勒索不到就公布一部分在互聯網讓大眾下載引起民憤！然後黑客最基本的會先把數據歸類下，然後和別的歷史「脫褲」數據做融合，將多個資料庫融合成一個大資料庫，比如a網站泄漏的數據包含用戶名，郵箱，登錄密碼，手機號等,b網站泄漏的數據有手機號，地址，姓名等，c網站泄漏的數據有郵箱往來記錄等數據，通過一些相同的數據，黑客會將一些相關的數據做關聯，這樣一來只要搜索一個手機號，你的地址，密碼，郵箱，往來記錄就全部一覽無餘了。這也是為何賭場黑市能輕鬆查一個人的主要原因。

撞庫

黑客將手頭的資料庫的用戶名密碼，通過機器編程自動批量嘗試登錄別的網站或app，黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B、C、D、E、F、G……等網站/app，盜取有價值的虛擬裝備，冒用滴滴打車，消費vip服務等，同時這樣同樣也能獲得一小部分的平台資料庫。然後再次勒索平台。。。。。。。只要是一個密碼走遍天下的，相當危險！

木桶效應

信息安全事故已經是常態！這些數據關聯組合在一起，不亞於一個國家的安全局，甚至一些小國家的安全局都沒有這麼多數據。犯罪分子可能只需要知道你的郵箱或者電話就可以在數據中搜索查詢你的全部信息，甚至銀行卡，支付密碼等都一覽無餘，登錄你的郵箱查找你所有的往來郵件，甚至用你的郵箱重置你所有的密碼。白話叫做人肉搜索，行話叫做社會工程學。

既然這麼多著名網站都出過安全事故，是不是說他們技術不行呢？其實不是的程序員也很冤，每個程序員都想做好防護，但是信息安全沒有絕對安全，只有相對安全，好比某公司，硬體防火牆，入侵檢測系統，網路/資料庫審計系統，代碼審計，utm，waf等等高大上的系統都上了，錢也花了不少，結果來了個試用期的新員工，來一個瞞天過海在公司內網就把數據給拷貝走了。。。。信息安全本就像一個木桶，安全程度取決於木桶的每塊木頭的高度，由最低的那片木頭決定。

已涉及國家安全

這些信息不乏公檢法司軍政的親屬及重要官員在互聯網的蛛絲馬跡！當然我國非常重視信息安全，公檢法司軍政還是有非常堅硬的信息安全盾牌的！信息安全不能大意，隨時有可能成為木桶中的那塊短板！

給個人的建議

您應該相信！這個世界上幾乎所有密碼都是形同虛設，一開始人類的防禦能力就是這麼弱的，但這都是神仙打架的事情，跟我們小網民八竿子打不著，大公司的安全並不由我們控制啊！在此我給朋友們提幾點小建議！

1.每個人都要設計兩種類型以上登錄密碼，一個簡單的比如：123456或者abcd之類的；一個複雜含有大小寫數字的比如：Gewu_GEWU_555，987GewU789;

2.涉及重要信息的大網站使用高強度密碼，比如社交通訊類的QQ,微信，支付寶，郵箱等。（強烈建議不要一個密碼走遍天下！因為丟了就全部丟了！）

3.小網站一律使用好記的簡單密碼，因為這些賬號通常丟了也不心疼，也不會對個人造成任何損失。

4.不要信任任何大網站！！！不要信任任何所謂的絕對安全！撿到U盤或者移動硬碟，不要往電腦上插！不要蹭任何免費wifi!（敬請關注後續的文章，會有詳細的說明）

5.到手機安全中心設置app許可權，手機app對通訊錄，簡訊，相冊等個人信息的獲取不要授權。（尤其簡訊驗證碼不要被盜，尤其注意APP簡訊的許可權）

6.同上條，如果您有網盤自動同步照片的功能，請不要將身份證照片留在手機上，拍完及時刪掉，因為一旦網盤密碼泄漏，身份證照片就落入別人手裡了！

7.朋友圈的各位老闆，董事長，總裁們，公司應該重視企業的信息安全制度！

沒有根基也許可以建一座小屋，但絕對不能造一座堅固的大廈。--- Eng.Isidor Goldreich(1906-1995)

8.幫你家老人！小孩！做好上述幾點！

預告一下，我們下期接著講密碼！如果您覺得這類文章，可以幫到身邊的朋友，請轉發（不強求！），當然也可以掃下面的二維碼打賞哈！(同樣不強求！)

原創不易，轉載請聯繫作者!喜歡這種類型的文章請關注我們的公眾號！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！