九阴玩家针对各种盗号情况 分享防范经验
4. 用软键盘。
木马为什么能知道你的帐号密码是因为一个叫做键盘记录的东西。 就是说你用物理键盘输入的任何东西,包括你和基友的激情,卑鄙无耻泡妹子的全过程都是可以被记录的。
但是,鼠标点击他是记录不了的。 注意登录游戏的时候 密码栏旁边有软键盘,点开后可以鼠标点击输入密码。这样键盘记录就没用了。 当然,如果黑客此时正好在监视你的屏幕的话,直接看到全过程。
缺点是,不要在网吧等公共场合用软键盘。会被别人看到的。我以前有个朋友专门在网吧看别人密码,手捂着在硬键盘上输入密码他都能看到。一圈下来5个游戏帐号密码倒背如流。
5. 密码强度。
这个必须得重复一下,弱密码确实是容易爆破的。别掉以轻心。这个适用所有帐号。
a. 不要用生日 -_- 你朋友都猜的出来
b. 不要用手机号、qq号。 我会告诉你上次我们研究报告里统计出来多少人用手机号码么?后果同上。
c. 求求你们了,不要1234567了。
---------c点分割线-----
这里补充一点,刚才看到有个朋友说蜗牛有加密,密码到数据库后是乱码保存,破解1234567也要几年时间是不准确的。
常见的加密算法有可逆和不可逆两种。 可逆就是你给我明文密码,我用特殊方法处理成加密串后,如果另外一个人也知道我用的加密算法,他是可以通过加密后的乱码得到原始明文密码的。
不可逆的也分两种,ha变成了一串理论上独一无二的乱码,就连我自己都没颁发逆向直到原始密码是什么。
但是,一定要有但是。一般hash算法都是公开的。蜗牛有自己算法的说法我完全不敢苟同。除非他请几个数学博士研究几年。常见的有md5 sha等等。 破解一般会采用暴力破解,就是拿到一串加密后的字符后用同样的算法算各种字母数字组合,得到密码串后和目标进行对比,如果相同那就恭喜你了。这个也叫字典破解,提高暴力破解效率的方式之一就是列举各种常见密码后一个一个实验,所以你那个1234567肯定是前排,妥妥的。
-------------------
d. 分享一个经验,非常非常非常非常有用和重要。 你怕密码太长太复杂记不住?随便想一句话,比如“今天天气真他么的好阿”,然后用拼音打‘jintiantianqizhentamehaoa'这多少位了?你给我猜?
如果要数字混合的也成, 'jintiantianqizhenj8hao'行么?张开你想象的翅膀阿亲~
e. 二级密码敢不敢和登录密码不一样? 不解释了。
f. 经常改密码是必要的,但不是唯一手段。
不废话了,这个话题太广,同志们自由发挥吧。你说再多还是有人用1234567和woaini1314的。
6. 密码找回。
这个只说一点,密码提示问题(找回问题)一定要自定义。 不要问你妈贵姓。娘的,我去你人人上看一下,你出生地生日中学名称不全来了?
问:请叫我达文西 答:好的文西。
求完美。
补充第五点:
尽量用唯一的密码,尽量与众不同。 为什么,因为如果你和某个人的密码是一样的,加密后你们两在数据库中的加密串也是一样的。黑客破解一个就可以抓出一堆。你想让别人中招你跟着遭殃么?
例外就是厂商使用salt或者random salt,这个和你没关系,蜗牛也不见得这么高级。想个牛逼拉风独一无二的密码最重要。所有网站帐号都是一样的。我会告诉你上次linkedin密码泄漏,里面有多少人密码是一样的么?买一送千阿亲~还包邮。
7. 牛盾。 凑齐七点去打酱油了。
必须用。 所谓动态密码,每分钟根据设备里的一个“钥匙”生成密码,服务器会根据另外一个“鸳鸯对钥匙”解码来确定密码是否正确。 那只有你这个设备生成的密码才可以被服务器验证通过。常见的算法有rsa等。这个依赖于大质数分解的复杂性,好点的机子真的得跑几年才能猜出来。
注意一点,不要用手机牛盾。尽量买官方硬件版吧,也不贵。 手机的问题在于大部分人都越狱了,我会告诉你多少cydia源里的软件包都挂了马么?我会告诉你你围脖号给别人群发广告是你手机中招么? 一旦你手机有问题,那就可以通过特殊手段拿到你的设备序列和牛盾的“钥匙”,rsa算法是开放的,分分钟写个模拟程序,没分钟和你生成一模一样的密码,你咬我?
不过呢,这个可能性就比较低了,要是有人能做到如此专业,那我已经无话可说了。所以还是买个牛盾吧。 总比丢银子强。
关于内部盗号,其实是有可能的。也有可能是蜗牛的验证系统存在缺陷。如果真存在那就是硬伤,不要再喷了,受得了留下,受不了就一路顺风。美其名曰双核运营,其实IT行业的人都知道,两个公司的人干一件事情,中间会有多少明争暗斗背后插刀。自求多福吧。
最后提醒大家一点,其实所谓盗号的“黑客”都没什么技术手段,我说的这些点他们都不一定懂。随便去网上学学木马什么的就能盗,根骨悟性高的3天速成。国外俗称这些人叫“script boy",脑残青年而以。 只知道用别人开发的软件和漏洞不停重复同样的动作,所以不要害怕,不要把他们想的太玄乎。保护好自己就不会被这样低级的所谓”技术“给坑到。
郑重声明,如果有人以上全做到了还是被盗号,m我qq跳大腿舞给安慰。
没有绝对的安全,只有相对的安全。还是那句话,安全游戏,开心,注意带套。
