微博單日攔截盜號3.5億人次:支招如何巧設密碼
可能是被上周Twitter盜號風波所警醒,新浪微博發佈《關於互聯網賬號安全現狀和微博賬號安全策略的說明》。
微博指出,賬號被盜的發生基本包括以下四種情況,即一套賬密走天下、客戶端釣魚、暴力破譯簡單常見密碼及網絡劫持。
微博稱,上半年,微博單日攔截盜號已超3.5億人次,10倍於去年同期。
關於如何設定安全密碼,微博給出的建議是,首先選一句喜歡詩詞歌賦或座右銘,例如「紅裝素裹,分外妖嬈」,提取拼音首字母「hzsg,fwyr」,然後對固定位置或固定字母做大小寫替換,再對形似數字的字母做替換,最後增加所屬網站信息,就生成了你的專屬微博賬號密碼,既保證了安全,也不會想不起來:
w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。
以下為全文:
關於互聯網賬號安全現狀和微博賬號安全策略的說明
被網友廣泛吐槽的賬號被盜/異常點贊/異常關注等問題,引發了很多猜測和不實傳聞,站方有必要就這些問題做出一些說明和澄清,回應網友的關切。
一般來說賬號被盜是怎麼發生的呢?
1. 一套賬密走天下:使用相同賬號密碼註冊多個網站,是用戶方便記憶的上上選,卻也是黑產的「好幫手」。若一家網站密碼泄漏,黑產會用泄漏數據到各個網站嘗試登錄,擴大盜號範圍。上半年,某外站郵箱註冊的微博賬號大規模被盜,系此類問題。
2. 客戶端釣魚:一些APP商店上的非微博官方客戶端,引導用戶輸入微博賬號密碼登錄。登錄的同時便將賬號信息泄漏給了第三方。
3. 暴力破譯簡單常見密碼:以主流的手機註冊為例,如185開頭的手機號最多1個億,隨意搭配一個常見密碼「Love1s1s!」(愛你一生一世的音譯),進行暴力登錄嘗試。1億個賬號中,碰巧使用該密碼的賬號就中招了。
4. 網絡劫持:在微博客戶端(或電腦瀏覽器)與微博服務器之間,還隔着萬水千山。互聯網絡、運營商、局域網,這些環節涉及眾多微博以外的企業。而黑產通過對任一環節進行監聽並截獲網絡數據,就可以輕鬆在用戶刷微博的同時,替用戶點個贊。是的,整個過程不需要知道賬號與密碼!
上述情況之外,XSS漏洞、病毒木馬、手機二次號…… 盜號方式不勝枚舉,上半年,微博單日攔截盜號已超3.5億人次,10倍於去年同期。
如此趨之若鶩,盜號的目的又是什麼呢?
偷來的賬號最直接的變現方式就是販賣出去,賣給從事各種違法犯罪活動的組織、個人。然後再用買來的賬號,更換低俗頭像,發佈涉黃涉賭槍支等博文和評論,傳播違法有害信息,給違法網站引流進行營利。或進行惡意營銷,給營銷賬號漲粉、轉發、點贊,採用不正當手段提高博文的曝光量,牟取非法利益。這些行為已嚴重侵害平台合法權益,破壞微博正常的內容生態秩序。
這種蠅營狗苟卻又防不勝防,被盜用戶抱怨之餘對平台有一些怨言和不理解也是情有可原的。但是因此指稱站方參與盜號交易,則是完全不符合邏輯和事實的。微博作為受害者,卻被打成同謀,情感上也很委屈。
為保護用戶隱私與賬號安全,微博先後推出多種賬號安全措施——陌生登錄提醒、雙重登錄驗證等功能,並自動監測賬號的異常活動並設置被盜只讀保護狀態。從今年6月以來,站方加大了對長期不活躍賬號在陌生地點突然登錄的攔截力度。7月下旬,微博還將在登錄環節逐步增加二次驗證功能,只有當完成短訊驗證、客戶端掃碼、私信確認3種方式中任意1種驗證之後,方可登錄成功。
最後,還要提到近期網友特別關注的去世賬號問題。受制於用戶真實社會身份與其互聯網身份的脫節,微博缺乏有效獲取過世信息的渠道,也就無從為去世賬號設置必要的狀態和保護。目前看來,解決途徑主要有兩種:使用者將賬號委託他人,在去世後設置為去世狀態;去世賬號使用者的親友,在得到賬號信息後,聯繫站方設置為去世狀態。微博正在尋找一個穩妥和便捷兼顧的方式解決這一問題。
盜號問題一直是互聯網一大公害,是各主流內容平台、社交平台、遊戲平台的頭等安全問題。作為一名普通的網友,要如何積極保護自己的賬號安全?這裡,教大家一個密碼設置的小竅門。首先選一句喜歡詩詞歌賦或座右銘,例如「紅裝素裹,分外妖嬈」,提取拼音首字母「hzsg,fwyr」,然後對固定位置或固定字母做大小寫替換,再對形似數字的字母做替換,最後增加所屬網站信息,就生成了你的專屬微博賬號密碼,既保證了安全,也不會想不起來:
w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。
盜號現象得到有效治理,不僅需要平台與用戶一起想辦法,更需要全社會多方力量共同努力。在這一過程中,微博將始一如既往地為保護用戶隱私和安全做出努力。
QNews
