你有过被盗号经历吗?

在网络时代,信息安全越来越受到重视和关注。此前,网络就曝光一演员称自己的账号被盗,引起热议。

这盗号的重重疑云,还从被盗平台关系到了其账号关联的邮箱上。

这是一个怎么回事呢?我们的账号又是如何被盗走的?

01

盗号疑云一:撞大运

网络账号有时候很容易被盗取,方法简单又粗暴——撞大运。

阿里的一位高级安全专家表示,一些有意义的字符串,10位一下的字符,有很大概率被成功暴力破解。比如“123456”、生日等。

当这些盗号者获取到你的账号名或者手机号码、邮箱后,他们就开始撞大运,用这些简单密码和“密码宝典”批量去撞大运。

最让他们烦恼的就是那些10位以上、字符组合复杂的密码。就不得不采取别的方式了。

02

盗号疑云二:撞库

你可能也收到过浏览器的提示,如“此网站安全等级低,请不要输入XX账号密码”等。

如果你忽略了,有可能就咬了黑客的“钩”。有时候,你打开的不安全的网站就是一个钓鱼站。

当拿到你的账号密码后,他们就会用同样的用户名和密码到其他平台去碰运气。即所谓的“撞库”和“刷库”。

此外,这些人也可能通过黑掉别人的网站,盗取他们的数据库,然后攻破其他平台。

所以说,在密码保护这块,我们都要注重这三个最容易被盗的错误:

1、密码组合太简单

2、多平台使用相同密码组合

3、不要浏览安全环境低的网站

03

程序员如何守护用户账号

账号会不会被别人盗取,更多地还是在看平台怎么去做账户保护。

1、证明我就是我

安全程序员要怎么去做账户保护呢?本质就是去识别此次登陆人是不是账号所有者本人。

输对用户名和密码只是一项基础考察。平台有时还会做多方面认证,像手机短信验证码,绑定身份证号码,设置安全问题等等,用更多的因素叠加起来去判断你是否为本人。

阿里的高级安全专家对此也作出解答:

“这既考验平台的安全建设也检验运营中识别攻击等能力。像阿里现在是基于新一代安全架构进行防护,怎么能在系统最初建设的时候就把安全能力、安全组件就融入进去。另一个就是安全运营。比如说,同一个IP有大量的请求过来去刷账户和密码,做登录的请求。这种其实在去做的是机器流量的识别,怎么能够在风控算法这个角度来去判断它是不是在一定的安全环境,这一次请求是本人的请求还是一些恶意的请求?账号会不会被别人盗取,更多地还是在看平台怎么去做账户保护。”

另外专家也提醒,有一个地方可能会被普通用户忽略,那就是所使用的网络本身。

尽可能不要去用公共WiFi或者一些不安全的网络,因为它可能去做一些流量劫持,有可能会把一些重要的账号密码,甚至cookie都拿走。

这取决于会不会有人在 WiFi上做手脚,或者说,有没有攻击者获得了对应的权限。有没有这个风险,个人用户是没法判断的。