不得不吐槽一下QQ空间网页版,异地登录不需要设备验证,只要密码一泄露,保证很快你的空间里就会出现一些乌烟瘴气的广告,真就是tx给盗号留的后门?
盗号无非是两种手段:
1. 借助程序反复尝试不同长度不同字符组合的密码,也就是所谓的“硬破拆”;
2. 借助木马病毒窃取用户储存在本地或者浏览器钥匙串里的密码。
其中第一种盗号方式对于QQ号这种登录常常需要人机验证(图片验证码、拼图等)的账号来说并不适用,所以第二种就应该是我们的重点防范对象。
首先,最最最重要的防范措施就是永远使用手机扫码登录。如此一来,那些盗号网站就获取不到你的密码,浏览器也不会储存你的密码,账号被盗的风险就会大大降低。
其次,如果你的账号曾经被盗过,那么修改密码的时候一定不要只是在原密码的基础上改几个字符就以为万事大吉了,因为你保留了越多的旧密码部分,对于盗号者来说你的新密码的可能性就越少,以至于在这种情况下就可能实现“硬破拆”。同时,“硬破拆”也并非真的是全部遍历尝试,它往往优先尝试与该用户有关的字符组合,如尝试用户的生日、姓名或者昵称的拼音等,以此来缩减尝试的范围。所以,一个安全的密码除了数字字母大小写结合以外,最好还是一些与任何个人信息都无关的字符乱码组合。
但是问题来了,这样的乱码组合自己哪里记得住呢?确实,这样的密码很难记,那我把它记录在一处地方可以吗?当然不可以,理论上凡是能联网的储存设备都不安全,而就算你采用物理载体(写在纸上)记录也有遗失后泄漏的风险。那么我们有没有一种相对安全而便捷(只是相对,记在脑子里才是绝对安全)的方法储存我们的密码呢?答案是有的。
我认为,使用文件的MD5码做账号密码也许是一个不错的选择。首先,一个文件的MD5码在文件内容不变的情况下是唯一且固定的。其次,它是通过固定的算法求得,具有100%的可复现性。那么我们是不是可以通过MD5算法,将自己电脑上的某一文件(下称安全文件)计算得出MD5值,取其前16位(QQ密码仅支持8~16位)作为账号密码,然后并不把该密码储存在任何地方,仅在每次需要时通过相同的方式将密码重新计算出来使用。如此一来,用户所需记忆的只是用了哪个文件的MD5值做密码,大大减轻了记忆密码的负担;同时,就算盗号木马再强也不可能在你的电脑的众多文件里找出你作为安全文件的那一个然后计算它的MD5值再取其前16位去登录你的账号了。
就算如此,常年使用同一个密码仍然会增加被盗号的风险,所以我们还是应该定期更改密码。若使用MD5值,则是更改使用的安全文件。
后记
作者近日被QQ盗号困扰,甚烦,思索良久,写作此文,附相应开源辅助程序一份一并提供给大家,希望能切实帮到大家,也为网络安全贡献自己的一份微薄之力。
如就此问题有更好的解决,欢迎在评论区交流。
2591
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
