本月，一名男子在纽约南区地方法院低头认罪。

男子名叫查尔斯·奥努斯 (Charles Onus)，尼日利亚人，他的罪名是利用账户安全漏洞，入侵一家人力资源公司，并窃取了用于员工薪资发放的资金。

你也许会想，被利用的漏洞虽然不至于是个 0day，但也应该蛮厉害的吧？非也。

一场行之有效的漏洞攻击，也许只需要简单粗暴的实现方法：撞库。

在“无处不登陆”的网络时代，构思密码组合的速度再快，也赶不上账户的注册速度。所以，越是简单好记的密码，使用的人就越多，而且为了省事儿，即使是不同平台的账户，很多人也喜欢用同一个密码。

这就给了撞库可趁之机。

撞库这种操作，简单来说就是，黑客先搜集 A 平台已泄漏的账号密码，再尝试用搜集来的账号密码去登陆 B 平台，假设你在多个平台使用的账号密码都相同，那么，黑客很容易就能入侵你的一系列账号。

去年 10 月，王思聪突然发了一条微博，称自己的大众点评账号“被别人改绑手机”，吃瓜群众纷纷感慨：原来大 V 也能遇到这种事情？

大众点评第一时间在底下评论，表示已经对王思聪的账号进行了保护性冻结，会尽快查实及同步相关情况。

有安全研究专家分析称，此次王思聪被人改绑手机，大概率是被不法分子套取个人信息后，利用撞库手段完成的盗绑。

2014 年，第三方漏洞报告平台乌云曝出 12306 网站用户数据泄漏漏洞，称有大量 12306 用户数据遭到疯传，包括账号、明文密码、身份证邮箱等。

随后，12306 进行了对应：

“针对互联网上出现网站用户信息在互联网上疯传的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。”

后经调查，此次 12306 数据泄漏事件为黑客撞库所致，泄露信息多来源于 17173、开心网等有过泄露历史的网站。

从 12306 撞库成功的 13 万数据来看，黑客手中利用的原始数据至少会在百万级以上。

前不久，密码管理器软件 NordPass，发布了最新年度调查结果，也就是 2021 最弱密码榜单，一起来看看排行榜前十中，有没有你正在用的弱密码？

撞衫无非是一阵尴尬，撞库可不一样，不论是隐私信息泄漏，还是财物丢失，普通人遇到哪一种都难受。

本文开头黑进人力资源公司的小哥奥努斯，就是通过撞库将自己送进了监狱。

从 2017 年 7 月开始，奥努斯通过更改接收薪资发放的银行卡账号，将部分工资转移到了自己的银行账户中。

2021 年 4 月 14 日，奥努斯在机场被捕，截止案发，奥努斯累计入侵的用户账户达到 5500 个，转移金额为 80 万美元。

面对指控，奥努斯承认了相关罪行，最终裁决将在 2022 年 5 月 12 日公布。

阻止撞库攻击的一个简单方法，是开启多因素认证 (MFA)，也就是除用户名和密码外，多一个验证码环节。

这类验证码一般以短信或身份验证程序发送给用户，这种情况下，即使攻击者已经拿到用户的登录名与密码，倘若过不了额外的验证码环节，依然无法登陆用户的账号，这也是为什么各个平台都在苦口婆心告诫用户，千万不要把验证码告诉别人的原因。

当然，不要使用过于简单的密码、经常更换密码，以及避免在多个平台上使用相同或相似的账户密码，也是保障账户安全的一些方法。

另外，还有一个冷知识：由数字、大小写、特殊符号构成的密码，以及曾经广为流传的替换法，比如用！代替 i，4 代替 A，这些方法并不会有效提高账户的安全性。

对密码来说，长度才是影响安全性的首要因素。

首先来说替换法，市面上你能了解到的替换规律，早就已经写在黑客的破解指南里了，利用这些替换思路构建的密码，在面临撞库攻击时，大概率会被首先破解。

其次来看复杂度和长度。

2013 年，科技网站 Ars Technica 请来三名黑客，与网站的副主编来一场挑战赛，目标是破解已被哈希算法机密的用户数据，共计 1.65 万组账号密码。

挑战结果：1 小时里，副主编破解了 47% 的密码，另外三名黑客中，最弱的破解率 为 62%，最高的则为 82%。

而对没有被破解的密码进行分析，发现它们有一个共同特征：长。

所以，对于重要的账户来说，最稳妥的方式是，将密码设置为网站允许的最大长度，密码不要显露出明显的规律，比如生日、电话号码等，且不同网站的用户名和密码保持独立。

做到以上三点，配合每半年或一年更新，以及多因素认证，效果更佳。

参考资料：

1、
https://www.bleepingcomputer.com/news/security/nigerian-hacker-pleads-guilty-to-stealing-payroll-deposits/

2、
https://nordpass.com/most-common-passwords-list/

3、
http://newpaper.dahe.cn/jrabybb/images/2014-12/26/08/YB08.pdf

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→微信公众号：浅黑科技：qianheikeji