網絡賬號是如何被盜走的

劉詢

第45次中國互聯網絡發展狀況統計報告數據顯示，截至2020年3月，有12.5 %的受訪網民表示在過去半年上網過程中遭遇賬號或密碼被盜。

網絡賬號可能通過哪些方式被盜？哪些行為讓我們的網絡賬號更危險？要如何提升自己密碼、賬號的安全性？各平臺的程序員們會為守護用戶的賬號做什么？

網絡賬號是如何被盜走的

我們先看看網絡賬號是如何被盜走的，如果設置了“123456”這樣的密碼，可能也不用思考這個問題了。這類密碼可以說是讓采取“暴力破解”方式的盜號者不費吹灰之力，就推開了我們虛掩的網絡賬號大門。在得到用戶賬號或手機號碼等信息后，盜號者就可以開始“撞大運”，用一些常用密碼或靠密碼字典去批量“撞”一批賬號。

密碼位數越多，數字、大小寫字母以及符號等包含的元素變化越多，被“撞”對的幾率也就越小，密碼越沒有意義、沒有規律就越難被破解。阿里安全高級安全專家永良表示：“像123456、I love you或者其他一些有意義的字符串，這種被暴力破解的成功概率比較大，無意義的字符串、長度越長被破解的難度越大，10位以上的密碼對于盜號者來說難度就已經非常大了。”

當我們手握一組自己都可能不小心會記錯的復雜密碼，網絡賬號們是不是就安全了呢？請注意這里所用的復數———網絡賬號們。

在保障網絡賬號安全上，“一招鮮，吃遍天”行不通。因為一旦這個密碼在安全性較差的平臺被泄露后，同樣用戶名和密碼的其他平臺賬號可能也會被盜號，這就要說到“撞庫”和“刷庫”了。

永良介紹，用這樣的方式，黑客要有一批賬戶密碼列表。這可能是通過“釣魚”得到的，也可能是前期有人黑掉了一些網站，把數據庫拿出來，供隨意下載或在暗網販賣。

這樣一來，如果某賬戶已經在某些社工庫中，或者因為某些網站安全性較低而泄露了賬戶密碼，用戶又在其他平臺使用了同樣的賬號密碼，那么，盜號者就可能直接用已經獲得的信息，攻破新的平臺。

都說“狡兔三窟”，精明的網絡用戶也要多準備一些密碼組合。

此外，釣魚鏈接也是比較常見的一種盜號方式。它就像拿著原版鑰匙去配鑰匙一樣，能夠直接獲取用戶的賬號和密碼。釣魚鏈接誘導用戶進入一個假冒的網站，讓用戶“認錯人”，從而套取用戶賬號信息。

平臺如何對抗盜號

程序員們有什么“大招兒”來守護自家用戶的賬號呢？永良表示，這既考驗平臺的安全建設也檢驗運營中識別攻擊的能力。像阿里現在是基于新一代安全架構進行防護，在系統最初建設的時候就把安全能力、安全組件融入進去。另一個就是安全運營，比如說，同一個IP有大量的請求過來刷賬戶和密碼，做登錄的請求。這就要做機器流量的識別，能夠在風控算法這個角度去判斷它是不是在安全環境，這一次請求是本人的請求還是惡意的請求？賬號會不會被別人盜取，更多地還是看平臺怎么去做賬戶保護。

如何證明我是我

安全程序員要怎么去做賬戶保護呢？本質就是去識別這一次來登陸的人是不是賬號所有者本人。那么，程序員們如何來判斷到底是不是用戶本人在操作？

輸對用戶名和密碼只是一項基礎考察。

永良介紹，密碼是最基礎的信息，是一個單因子，平臺能夠做的其實是多因子認證，像手機短信驗證碼、綁定身份證號碼及設置安全問題等，用更多的因素疊加起來去判斷。

但是，在提供其他個人信息去證明自己身份的時候，用戶可能也會擔心，如果我這個賬號被盜了，盜號的人是不是也就直接掌握了我的其他信息呢？一丟丟一串，會這樣嗎？

永良表示，從系統設計角度來看，拿到賬戶權限和能不能拿到這些綁定的基礎信息是兩回事。大部分網站會做一些模糊化的處理，比如，只能看到身份證號的前幾位和后幾位，中間被模糊處理掉，是看不到的。

最后，還有一個地方可能會被普通用戶忽略，那就是所使用的網絡本身。

專家提醒，盡可能不要去用公共WiFi或者一些不安全的網絡，因為它可能去做一些流量劫持，有可能會把一些重要的賬號密碼，甚至cookie都拿走。這取決于會不會有人在WiFi上做手腳，或者說，有沒有攻擊者獲得了對應的權限。但是有沒有這個風險，個人用戶是沒法判斷的。