ASL

1 密碼泄露的影響

可能有人覺(jué)得自己又不是名人，又沒(méi)什么錢(qián)，密碼泄露沒(méi)什么危害，但總有你想不到的信息會(huì)因此暴露，并產(chǎn)生一系列麻煩。

密碼泄露產(chǎn)生的影響有以下幾個(gè)方面。

賬號(hào)曝光只是最直接、最淺層次的損害，如果是論壇、SNS賬號(hào)，可能導(dǎo)致身份被假冒用于發(fā)布虛假文章；如果是游戲網(wǎng)站，則游戲裝備可能被盜取。而郵箱賬號(hào)被公開(kāi)，對(duì)某些網(wǎng)絡(luò)營(yíng)銷(xiāo)者、病毒集團(tuán)來(lái)說(shuō)，無(wú)異于天上掉餡餅，對(duì)被泄露者來(lái)說(shuō)，則意味著將收到更多的垃圾郵件、廣告郵件，甚至是木馬釣魚(yú)郵件。

眾所周知，同一廠商的郵箱一般與多個(gè)網(wǎng)絡(luò)服務(wù)賬號(hào)相通，比如新浪郵箱與新浪微博、新浪博客，Gmail與谷歌文檔、Google+等，賬號(hào)和密碼都是相同的，如果郵箱和密碼被公開(kāi)，網(wǎng)民的私信、照片、社交網(wǎng)絡(luò)也隨之被曝光，各種“門(mén)”可能會(huì)不邀而至。

還有不少網(wǎng)民用一個(gè)郵箱注冊(cè)了多家網(wǎng)絡(luò)服務(wù)，甚至通用一個(gè)密碼，比如用網(wǎng)易郵箱注冊(cè)團(tuán)購(gòu)、淘寶、支付寶等電子商務(wù)網(wǎng)站，或者用郵箱接收銀行信用卡賬單、個(gè)人理財(cái)、股票交易信息等。由于這些均與銀行賬戶(hù)直接關(guān)聯(lián)，賬號(hào)曝光導(dǎo)致的危害性更高。

危害可能還會(huì)波及你的親友。如果惡意攻擊者盜用你的郵箱或者SNS賬號(hào)，給你的親朋好友發(fā)送假冒欺詐信息，比如臨時(shí)借錢(qián)或者網(wǎng)購(gòu)東西，他們由于對(duì)你的信任，極有可能上當(dāng)受騙。

上述的影響大都涉及到基于賬號(hào)盜取的隱私暴利。

黑客一般能按以下步驟進(jìn)行利用：

1）從賬號(hào)信息中找到關(guān)聯(lián)的郵箱，破解郵箱的密碼。

2）搜刮郵箱里面的重要信件和資料，如網(wǎng)游賬號(hào)信息、公司資料、個(gè)人照片等。

3）通過(guò)社會(huì)工程學(xué)搜索，確認(rèn)哪些郵箱與重要的人物、公司有關(guān)聯(lián)，可以用來(lái)做商業(yè)犯罪或者發(fā)布病毒等。

4）沒(méi)太大用處的郵箱可以用來(lái)廣發(fā)垃圾郵件和病毒，也可以用來(lái)注冊(cè)大量垃圾賬號(hào)，廣泛用于論壇刷帖等等。

5）黑客把所有密碼編成字典，以后盜號(hào)可以更快了。

6）隱私信息都可以用于社會(huì)工程學(xué)攻擊，用于制作釣魚(yú)郵件。

以上步驟除了能榨取用戶(hù)賬戶(hù)內(nèi)的有限財(cái)富外，用戶(hù)本身的隱私和數(shù)據(jù)也具有很大的利用價(jià)值。

2 密碼設(shè)置安全原則

基本原則

首要第一條便是密碼不要設(shè)定為帶有生日、電話號(hào)碼、QQ或郵箱等與個(gè)人信息有明顯聯(lián)系的數(shù)據(jù)，否則你的密碼即使不能入選“年度最糟糕密碼排行榜”，也會(huì)被犯罪分子輕易聯(lián)想到；第二，盡量為不同網(wǎng)站設(shè)置不同密碼；第三，妥善保存密碼并定期修改。不要將密碼信息保存在電腦、手機(jī)中，這些設(shè)備一旦丟失，里面的密碼也將失守；第四，不要將密碼信息輕易透露給他人，特別是通過(guò)即時(shí)通訊工具、郵箱等。

低關(guān)聯(lián)性

有些人設(shè)置的密碼確實(shí)復(fù)雜，但是有可能存在的一種情況就是使用同一個(gè)密碼，這種情況不在少數(shù)，即使是有些是搞安全的也會(huì)存在這樣的情況，這樣存在一種風(fēng)險(xiǎn)，就是一旦有一個(gè)密碼被盜了，其他所有的全部完了。有的密碼雖然不一樣，但是規(guī)律卻很明顯，這樣也是跟用同一個(gè)密碼區(qū)別不大。

注冊(cè)郵箱

保護(hù)好自己的郵箱。很多時(shí)候注冊(cè)都需要填寫(xiě)郵箱進(jìn)行驗(yàn)證。如果在多個(gè)地方注冊(cè)使用同一個(gè)郵箱，一旦我們的郵箱被破解，那么我們其他網(wǎng)站密碼被破解的可能性就會(huì)變大。所以，這里的建議是注冊(cè)多個(gè)郵箱，或者單個(gè)網(wǎng)站對(duì)單個(gè)郵箱，對(duì)于不常去的且不重要的，可以單獨(dú)注冊(cè)一個(gè)這樣的郵箱。特別重要的，可以注冊(cè)一個(gè)重要的郵箱，也可以根據(jù)自己的情況去申請(qǐng)幾個(gè)郵箱，作為某一類(lèi)或某一種情況的專(zhuān)用。

密碼強(qiáng)度

將自己現(xiàn)有的網(wǎng)絡(luò)賬戶(hù)進(jìn)行分類(lèi)整理，密碼根據(jù)賬戶(hù)的重要程度去進(jìn)行設(shè)置?？梢苑譃槿齻€(gè)等級(jí)：弱、中、強(qiáng)。

弱：一般表示非常容易記的，不用去背的。例如123456這樣的密碼。中：一般為字母+數(shù)字，其中有的密碼是由名字和生日進(jìn)行組合而成的，或者某些單詞+數(shù)字，這種與上一種要復(fù)雜一些，位數(shù)要多一些。高：大小寫(xiě)字母+數(shù)字+特殊符號(hào)。比較復(fù)雜，不容易記憶。

當(dāng)然除了字符以外，密碼的長(zhǎng)度也是其中的一個(gè)標(biāo)準(zhǔn)。安全的建議是8位以上復(fù)雜密碼和中等密碼，這樣在破解的過(guò)程中耗費(fèi)的時(shí)間要長(zhǎng)很多。

你也可以通過(guò)微軟官方的密碼檢查器來(lái)檢查自己的密碼強(qiáng)度（http：//t.cn/8FN0fyj）。

3 密碼的保護(hù)

設(shè)置復(fù)雜的密碼只是為了防止被別人破解，但是獲取密碼的方式不止一種破解方式，如果想要做到安全，需要了解相關(guān)的安全知識(shí)。

獲取密碼的方式可以通過(guò)網(wǎng)絡(luò)釣魚(yú)、鍵盤(pán)記錄方式、嗅探、暴力破解，社會(huì)工程學(xué)、讀取內(nèi)存實(shí)現(xiàn)。竊取文件（讀取配置文件），密碼的保護(hù)的話也是從這些方面入手防御。

對(duì)于釣魚(yú)和鍵盤(pán)記錄，我們要提高警惕，不要隨意打開(kāi)一些網(wǎng)址（要注意看好網(wǎng)址）以及別人發(fā)來(lái)的文件等（除了exe外，還要小心doc、xls、pdf這類(lèi)常用文件），需要確認(rèn)后打開(kāi)查看。

嗅探的話，做好arp方面的防御；暴力破解，就是加強(qiáng)自己的密碼強(qiáng)度，設(shè)置復(fù)雜的密碼。

社會(huì)工程學(xué)，不要輕易告訴別人你的密碼，并且說(shuō)要密碼的郵件或者網(wǎng)站，都不要相信，別人說(shuō)因?yàn)槟衬吃蛐枰峁┟艽a的時(shí)候也不要給。

對(duì)于配置文件方面，要加強(qiáng)程序的安全、服務(wù)器的安全性，防止配置文件被別人查看。做好文件系統(tǒng)的權(quán)限設(shè)置。

希望使更多人了解，使用較弱的密碼會(huì)帶來(lái)什么樣的風(fēng)險(xiǎn)，希望有更多人可以采取簡(jiǎn)單的措施來(lái)保護(hù)自己，包括使用更強(qiáng)的密碼，以及在不同網(wǎng)站使用不同密碼。

雖說(shuō)沒(méi)有人期望你是一個(gè)安全專(zhuān)家，但希望你能保持警惕。