网络账号是如何被盗走的

刘询

第45次中国互联网络发展状况统计报告数据显示，截至2020年3月，有12.5 %的受访网民表示在过去半年上网过程中遭遇账号或密码被盗。

网络账号可能通过哪些方式被盗？哪些行为让我们的网络账号更危险？要如何提升自己密码、账号的安全性？各平台的程序员们会为守护用户的账号做什么？

网络账号是如何被盗走的

我们先看看网络账号是如何被盗走的，如果设置了“123456”这样的密码，可能也不用思考这个问题了。这类密码可以说是让采取“暴力破解”方式的盗号者不费吹灰之力，就推开了我们虚掩的网络账号大门。在得到用户账号或手机号码等信息后，盗号者就可以开始“撞大运”，用一些常用密码或靠密码字典去批量“撞”一批账号。

密码位数越多，数字、大小写字母以及符号等包含的元素变化越多，被“撞”对的几率也就越小，密码越没有意义、没有规律就越难被破解。阿里安全高级安全专家永良表示：“像123456、I love you或者其他一些有意义的字符串，这种被暴力破解的成功概率比较大，无意义的字符串、长度越长被破解的难度越大，10位以上的密码对于盗号者来说难度就已经非常大了。”

当我们手握一组自己都可能不小心会记错的复杂密码，网络账号们是不是就安全了呢？请注意这里所用的复数———网络账号们。

在保障网络账号安全上，“一招鲜，吃遍天”行不通。因为一旦这个密码在安全性较差的平台被泄露后，同样用户名和密码的其他平台账号可能也会被盗号，这就要说到“撞库”和“刷库”了。

永良介绍，用这样的方式，黑客要有一批账户密码列表。这可能是通过“钓鱼”得到的，也可能是前期有人黑掉了一些网站，把数据库拿出来，供随意下载或在暗网贩卖。

这样一来，如果某账户已经在某些社工库中，或者因为某些网站安全性较低而泄露了账户密码，用户又在其他平臺使用了同样的账号密码，那么，盗号者就可能直接用已经获得的信息，攻破新的平台。

都说“狡兔三窟”，精明的网络用户也要多准备一些密码组合。

此外，钓鱼链接也是比较常见的一种盗号方式。它就像拿着原版钥匙去配钥匙一样，能够直接获取用户的账号和密码。钓鱼链接诱导用户进入一个假冒的网站，让用户“认错人”，从而套取用户账号信息。

平台如何对抗盗号

程序员们有什么“大招儿”来守护自家用户的账号呢？永良表示，这既考验平台的安全建设也检验运营中识别攻击的能力。像阿里现在是基于新一代安全架构进行防护，在系统最初建设的时候就把安全能力、安全组件融入进去。另一个就是安全运营，比如说，同一个IP有大量的请求过来刷账户和密码，做登录的请求。这就要做机器流量的识别，能够在风控算法这个角度去判断它是不是在安全环境，这一次请求是本人的请求还是恶意的请求？账号会不会被别人盗取，更多地还是看平台怎么去做账户保护。

如何证明我是我

安全程序员要怎么去做账户保护呢？本质就是去识别这一次来登陆的人是不是账号所有者本人。那么，程序员们如何来判断到底是不是用户本人在操作？

输对用户名和密码只是一项基础考察。

永良介绍，密码是最基础的信息，是一个单因子，平台能够做的其实是多因子认证，像手机短信验证码、绑定身份证号码及设置安全问题等，用更多的因素叠加起来去判断。

但是，在提供其他个人信息去证明自己身份的时候，用户可能也会担心，如果我这个账号被盗了，盗号的人是不是也就直接掌握了我的其他信息呢？一丢丢一串，会这样吗？

永良表示，从系统设计角度来看，拿到账户权限和能不能拿到这些绑定的基础信息是两回事。大部分网站会做一些模糊化的处理，比如，只能看到身份证号的前几位和后几位，中间被模糊处理掉，是看不到的。

最后，还有一个地方可能会被普通用户忽略，那就是所使用的网络本身。

专家提醒，尽可能不要去用公共WiFi或者一些不安全的网络，因为它可能去做一些流量劫持，有可能会把一些重要的账号密码，甚至cookie都拿走。这取决于会不会有人在WiFi上做手脚，或者说，有没有攻击者获得了对应的权限。但是有没有这个风险，个人用户是没法判断的。