ASL

1 密碼泄露的影響

可能有人覺得自己又不是名人，又沒什么錢，密碼泄露沒什么危害，但總有你想不到的信息會因此暴露，并產(chǎn)生一系列麻煩。

密碼泄露產(chǎn)生的影響有以下幾個方面。

賬號曝光只是最直接、最淺層次的損害，如果是論壇、SNS賬號，可能導(dǎo)致身份被假冒用于發(fā)布虛假文章；如果是游戲網(wǎng)站，則游戲裝備可能被盜取。而郵箱賬號被公開，對某些網(wǎng)絡(luò)營銷者、病毒集團來說，無異于天上掉餡餅，對被泄露者來說，則意味著將收到更多的垃圾郵件、廣告郵件，甚至是木馬釣魚郵件。

眾所周知，同一廠商的郵箱一般與多個網(wǎng)絡(luò)服務(wù)賬號相通，比如新浪郵箱與新浪微博、新浪博客，Gmail與谷歌文檔、Google+等，賬號和密碼都是相同的，如果郵箱和密碼被公開，網(wǎng)民的私信、照片、社交網(wǎng)絡(luò)也隨之被曝光，各種“門”可能會不邀而至。

還有不少網(wǎng)民用一個郵箱注冊了多家網(wǎng)絡(luò)服務(wù)，甚至通用一個密碼，比如用網(wǎng)易郵箱注冊團購、淘寶、支付寶等電子商務(wù)網(wǎng)站，或者用郵箱接收銀行信用卡賬單、個人理財、股票交易信息等。由于這些均與銀行賬戶直接關(guān)聯(lián)，賬號曝光導(dǎo)致的危害性更高。

危害可能還會波及你的親友。如果惡意攻擊者盜用你的郵箱或者SNS賬號，給你的親朋好友發(fā)送假冒欺詐信息，比如臨時借錢或者網(wǎng)購東西，他們由于對你的信任，極有可能上當(dāng)受騙。

上述的影響大都涉及到基于賬號盜取的隱私暴利。

黑客一般能按以下步驟進行利用：

1）從賬號信息中找到關(guān)聯(lián)的郵箱，破解郵箱的密碼。

2）搜刮郵箱里面的重要信件和資料，如網(wǎng)游賬號信息、公司資料、個人照片等。

3）通過社會工程學(xué)搜索，確認(rèn)哪些郵箱與重要的人物、公司有關(guān)聯(lián)，可以用來做商業(yè)犯罪或者發(fā)布病毒等。

4）沒太大用處的郵箱可以用來廣發(fā)垃圾郵件和病毒，也可以用來注冊大量垃圾賬號，廣泛用于論壇刷帖等等。

5）黑客把所有密碼編成字典，以后盜號可以更快了。

6）隱私信息都可以用于社會工程學(xué)攻擊，用于制作釣魚郵件。

以上步驟除了能榨取用戶賬戶內(nèi)的有限財富外，用戶本身的隱私和數(shù)據(jù)也具有很大的利用價值。

2 密碼設(shè)置安全原則

基本原則

首要第一條便是密碼不要設(shè)定為帶有生日、電話號碼、QQ或郵箱等與個人信息有明顯聯(lián)系的數(shù)據(jù)，否則你的密碼即使不能入選“年度最糟糕密碼排行榜”，也會被犯罪分子輕易聯(lián)想到；第二，盡量為不同網(wǎng)站設(shè)置不同密碼；第三，妥善保存密碼并定期修改。不要將密碼信息保存在電腦、手機中，這些設(shè)備一旦丟失，里面的密碼也將失守；第四，不要將密碼信息輕易透露給他人，特別是通過即時通訊工具、郵箱等。

低關(guān)聯(lián)性

有些人設(shè)置的密碼確實復(fù)雜，但是有可能存在的一種情況就是使用同一個密碼，這種情況不在少數(shù)，即使是有些是搞安全的也會存在這樣的情況，這樣存在一種風(fēng)險，就是一旦有一個密碼被盜了，其他所有的全部完了。有的密碼雖然不一樣，但是規(guī)律卻很明顯，這樣也是跟用同一個密碼區(qū)別不大。

注冊郵箱

保護好自己的郵箱。很多時候注冊都需要填寫郵箱進行驗證。如果在多個地方注冊使用同一個郵箱，一旦我們的郵箱被破解，那么我們其他網(wǎng)站密碼被破解的可能性就會變大。所以，這里的建議是注冊多個郵箱，或者單個網(wǎng)站對單個郵箱，對于不常去的且不重要的，可以單獨注冊一個這樣的郵箱。特別重要的，可以注冊一個重要的郵箱，也可以根據(jù)自己的情況去申請幾個郵箱，作為某一類或某一種情況的專用。

密碼強度

將自己現(xiàn)有的網(wǎng)絡(luò)賬戶進行分類整理，密碼根據(jù)賬戶的重要程度去進行設(shè)置。可以分為三個等級：弱、中、強。

弱：一般表示非常容易記的，不用去背的。例如123456這樣的密碼。中：一般為字母+數(shù)字，其中有的密碼是由名字和生日進行組合而成的，或者某些單詞+數(shù)字，這種與上一種要復(fù)雜一些，位數(shù)要多一些。高：大小寫字母+數(shù)字+特殊符號。比較復(fù)雜，不容易記憶。

當(dāng)然除了字符以外，密碼的長度也是其中的一個標(biāo)準(zhǔn)。安全的建議是8位以上復(fù)雜密碼和中等密碼，這樣在破解的過程中耗費的時間要長很多。

你也可以通過微軟官方的密碼檢查器來檢查自己的密碼強度（http：//t.cn/8FN0fyj）。

3 密碼的保護

設(shè)置復(fù)雜的密碼只是為了防止被別人破解，但是獲取密碼的方式不止一種破解方式，如果想要做到安全，需要了解相關(guān)的安全知識。

獲取密碼的方式可以通過網(wǎng)絡(luò)釣魚、鍵盤記錄方式、嗅探、暴力破解，社會工程學(xué)、讀取內(nèi)存實現(xiàn)。竊取文件（讀取配置文件），密碼的保護的話也是從這些方面入手防御。

對于釣魚和鍵盤記錄，我們要提高警惕，不要隨意打開一些網(wǎng)址（要注意看好網(wǎng)址）以及別人發(fā)來的文件等（除了exe外，還要小心doc、xls、pdf這類常用文件），需要確認(rèn)后打開查看。

嗅探的話，做好arp方面的防御；暴力破解，就是加強自己的密碼強度，設(shè)置復(fù)雜的密碼。

社會工程學(xué)，不要輕易告訴別人你的密碼，并且說要密碼的郵件或者網(wǎng)站，都不要相信，別人說因為某某原因需要提供密碼的時候也不要給。

對于配置文件方面，要加強程序的安全、服務(wù)器的安全性，防止配置文件被別人查看。做好文件系統(tǒng)的權(quán)限設(shè)置。

希望使更多人了解，使用較弱的密碼會帶來什么樣的風(fēng)險，希望有更多人可以采取簡單的措施來保護自己，包括使用更強的密碼，以及在不同網(wǎng)站使用不同密碼。

雖說沒有人期望你是一個安全專家，但希望你能保持警惕。