涨姿势 | 教你几招保密码安全

　　新华网北京11月8日电 近来，屡屡有大门户网站被“黑”、用户数据泄露的消息。每当此时，朋友圈都是一片“又要改密码了”的哀叹。可是到底怎么保护密码才更安全呢？我们不妨从常见的黑客攻击手法出发，见招拆招。

　　【防穷举爆破：把密码设得足够复杂】

　　使用特有软件利用穷举的方法爆破口令是最原始的黑客攻击手法，应对这种攻击只需要把密码设得足够复杂，一方面密码应该足够长，另一方面应同时包括大小写字母、数字和特殊符号，对比一下同样是10位长的密码，纯数字密码的穷举爆破计算量是10的10次方，而复杂密码的计算量可达94的10次方，显然能大大提高爆破的难度。

　　【防社会工程：避免用个人信息设密码】

　　更高级一些的黑客会利用手中的“社工库”信息破解密码。由于各类网站泄露事件和非法出卖个人信息的行为，互联网上流传着许多“社工库”，其中有海量的个人信息，包括姓名、电话号码、身份证号码等。黑客往往先利用这些社工库里的信息生成“社工密码字典”，然后用软件尝试用字典里的各种信息及组合来破解密码。

　　由此可见，应该避免使用个人信息设置密码，如果使用了个人信息作为密码的一部分，即使密码很长很复杂，在“社工字典”破解法面前也会被很高效地破解。类似的，社工字典里也包括常见的弱口令，因此密码里也不应该使用123456、password这样的字串，而应该做到足够随机。

　　图为某款“社工密码字典”生成器的画面。

　　【防拖库攻击:定期及时更改密码】

　　拖库攻击是指的黑客利用漏洞入侵网站后窃取其数据库的攻击行为，一个大型网站被攻破后，海量的用户账号明文信息就在黑客面前一览无余。据传，此前网易邮箱数据泄露就是遭受了此类攻击。

　　拖库攻击是目前普通用户在互联网上面临的最大的隐私威胁之一。无奈的是，个人面对这类攻击无法防范，只能在拖库事件被曝光后及时更改密码，在一定程度上避免更大损失，比如被黑客登录邮箱后远程锁定iphone或冒用邮箱向亲友发送欺骗信息、钓鱼邮件等等。

　　然而，在更多的时候，拖库攻击是静悄悄地发生的，很可能今天爆出的拖库攻击早在很久以前就发生过了，因此定期更改重要账号的密码非常重要。

　　图为某网站遭“拖库攻击”后泄露的用户信息。

　　 【防撞库攻击：不同账户设置不同密码】

　　撞库攻击是指黑客利用已获取的用户和密码信息生成对应的字典表，尝试批量登陆其他网站，由于很多用户在不同网站使用相同的账号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网站。

　　防范撞库攻击的最理想的方法是为不同的账户设置独一无二的密码，然而现实生活中每个人都有着自己都数不过来的在线账户，因此可行性更高一点的方法是区别对待重要性不同的账户，对于非常重要的邮箱、网银、社交软件等账户，应该尽量使用单独的密码，而相对不那么重要的网站，可以使用一个不常用的邮箱注册，使用一个通用的密码，这样即使发生撞库，也只会在重要级别较低的账户之间生效。

　　在互联网上，绝对的安全是不存在的，不过做到上面四点至少可以大大提高你的密码安全性，让黑客知难而退，毕竟大多数黑客出于效率考虑，往往更愿意选择“软柿子”捏。（新华国际客户端报道）