微博單日攔截盜號3.5億人次：支招如何巧設(shè)密碼

時間：2020-08-12 09:00:01

關(guān)鍵字：密碼微博

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]可能是被上周Twitter盜號風(fēng)波所警醒，新浪微博發(fā)布《關(guān)于互聯(lián)網(wǎng)賬號安全現(xiàn)狀和微博賬號安全策略的說明》。微博指出，賬號被盜的發(fā)生基本包括以下四種情況，即一套賬密走天下、客戶端釣魚、暴力破譯簡單常見

可能是被上周Twitter盜號風(fēng)波所警醒，新浪微博發(fā)布《關(guān)于互聯(lián)網(wǎng)賬號安全現(xiàn)狀和微博賬號安全策略的說明》。

微博指出，賬號被盜的發(fā)生基本包括以下四種情況，即一套賬密走天下、客戶端釣魚、暴力破譯簡單常見密碼及網(wǎng)絡(luò)劫持。

微博稱，上半年，微博單日攔截盜號已超3.5億人次，10倍于去年同期。

關(guān)于如何設(shè)定安全密碼，微博給出的建議是，首先選一句喜歡詩詞歌賦或座右銘，例如“紅裝素裹，分外妖嬈”，提取拼音首字母“hzsg,fwyr”，然后對固定位置或固定字母做大小寫替換，再對形似數(shù)字的字母做替換，最后增加所屬網(wǎng)站信息，就生成了你的專屬微博賬號密碼，既保證了安全，也不會想不起來：

w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

以下為全文：

關(guān)于互聯(lián)網(wǎng)賬號安全現(xiàn)狀和微博賬號安全策略的說明

被網(wǎng)友廣泛吐槽的賬號被盜/異常點贊/異常關(guān)注等問題，引發(fā)了很多猜測和不實傳聞，站方有必要就這些問題做出一些說明和澄清，回應(yīng)網(wǎng)友的關(guān)切。

一般來說賬號被盜是怎么發(fā)生的呢？

1. 一套賬密走天下：使用相同賬號密碼注冊多個網(wǎng)站，是用戶方便記憶的上上選，卻也是黑產(chǎn)的“好幫手”。若一家網(wǎng)站密碼泄漏，黑產(chǎn)會用泄漏數(shù)據(jù)到各個網(wǎng)站嘗試登錄，擴大盜號范圍。上半年，某外站郵箱注冊的微博賬號大規(guī)模被盜，系此類問題。

2. 客戶端釣魚：一些APP商店上的非微博官方客戶端，引導(dǎo)用戶輸入微博賬號密碼登錄。登錄的同時便將賬號信息泄漏給了第三方。

3. 暴力破譯簡單常見密碼：以主流的手機注冊為例，如185開頭的手機號最多1個億，隨意搭配一個常見密碼“Love1s1s!”（愛你一生一世的音譯），進行暴力登錄嘗試。1億個賬號中，碰巧使用該密碼的賬號就中招了。

4. 網(wǎng)絡(luò)劫持：在微博客戶端（或電腦瀏覽器）與微博服務(wù)器之間，還隔著萬水千山?；ヂ?lián)網(wǎng)絡(luò)、運營商、局域網(wǎng)，這些環(huán)節(jié)涉及眾多微博以外的企業(yè)。而黑產(chǎn)通過對任一環(huán)節(jié)進行監(jiān)聽并截獲網(wǎng)絡(luò)數(shù)據(jù)，就可以輕松在用戶刷微博的同時，替用戶點個贊。是的，整個過程不需要知道賬號與密碼！

上述情況之外，XSS漏洞、病毒木馬、手機二次號…… 盜號方式不勝枚舉，上半年，微博單日攔截盜號已超3.5億人次，10倍于去年同期。

如此趨之若鶩，盜號的目的又是什么呢？

偷來的賬號最直接的變現(xiàn)方式就是販賣出去，賣給從事各種違法犯罪活動的組織、個人。然后再用買來的賬號，更換低俗頭像，發(fā)布涉黃涉賭槍支等博文和評論，傳播違法有害信息，給違法網(wǎng)站引流進行營利?；蜻M行惡意營銷，給營銷賬號漲粉、轉(zhuǎn)發(fā)、點贊，采用不正當(dāng)手段提高博文的曝光量，牟取非法利益。這些行為已嚴(yán)重侵害平臺合法權(quán)益，破壞微博正常的內(nèi)容生態(tài)秩序。

這種蠅營狗茍卻又防不勝防，被盜用戶抱怨之余對平臺有一些怨言和不理解也是情有可原的。但是因此指稱站方參與盜號交易，則是完全不符合邏輯和事實的。微博作為受害者，卻被打成同謀，情感上也很委屈。

為保護用戶隱私與賬號安全，微博先后推出多種賬號安全措施—;—;陌生登錄提醒、雙重登錄驗證等功能，并自動監(jiān)測賬號的異?；顒硬⒃O(shè)置被盜只讀保護狀態(tài)。從今年6月以來，站方加大了對長期不活躍賬號在陌生地點突然登錄的攔截力度。7月下旬，微博還將在登錄環(huán)節(jié)逐步增加二次驗證功能，只有當(dāng)完成短信驗證、客戶端掃碼、私信確認(rèn)3種方式中任意1種驗證之后，方可登錄成功。

最后，還要提到近期網(wǎng)友特別關(guān)注的去世賬號問題。受制于用戶真實社會身份與其互聯(lián)網(wǎng)身份的脫節(jié)，微博缺乏有效獲取過世信息的渠道，也就無從為去世賬號設(shè)置必要的狀態(tài)和保護。目前看來，解決途徑主要有兩種：使用者將賬號委托他人，在去世后設(shè)置為去世狀態(tài)；去世賬號使用者的親友，在得到賬號信息后，聯(lián)系站方設(shè)置為去世狀態(tài)。微博正在尋找一個穩(wěn)妥和便捷兼顧的方式解決這一問題。

盜號問題一直是互聯(lián)網(wǎng)一大公害，是各主流內(nèi)容平臺、社交平臺、游戲平臺的頭等安全問題。作為一名普通的網(wǎng)友，要如何積極保護自己的賬號安全？這里，教大家一個密碼設(shè)置的小竅門。首先選一句喜歡詩詞歌賦或座右銘，例如“紅裝素裹，分外妖嬈”，提取拼音首字母“hzsg,fwyr”，然后對固定位置或固定字母做大小寫替換，再對形似數(shù)字的字母做替換，最后增加所屬網(wǎng)站信息，就生成了你的專屬微博賬號密碼，既保證了安全，也不會想不起來：

w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

盜號現(xiàn)象得到有效治理，不僅需要平臺與用戶一起想辦法，更需要全社會多方力量共同努力。在這一過程中，微博將始一如既往地為保護用戶隱私和安全做出努力。