二、弱密码——纸糊的门锁

现实世界中的情况是，几天之内宋喆的所有邮箱、人人网、京东账号似乎都已经被攻破。黑客们是如何做到的呢？根据爆出的信息，林伟为我们简单地梳理了一下他被“社工”的步骤：

1、手机号、身份证信息被网友通过社工库泄露。(身份证上包含住址，但后来证明此居所已被出售。)

2、网易邮箱密码被破解，牵连出背后的密保邮箱和其他常用邮箱。

3、利用邮箱登陆的人人网、豆瓣账号被搞定。

4、与邮箱密码相同或相似的京东、大众点评、外卖 App 被攻破。

5、某电商收货地址暴露，导致藏身住址被扒出，被媒体围堵。

我们来追本溯源，这一切的一切都始自于邮箱被破解。众所周知，网易并不给力，曾传言被拖库(用户信息库被黑客拖下来)。虽然官方否认，但多个渠道证明在黑产中流传着完整的网易邮箱的用户信息。

 

【在黑产中流传的网易邮箱密码库】

正因为如此，才能在社工库里看到宋喆的邮箱密码。然而有一件事必须说明，那就是网站被拖库，并不意味着你的密码信息一定会被泄露。

科普一下。现在几乎所有网站的用户信息都已经被“加盐”，即所有的用户名和密码都是在加密状态被存储的。即使黑客黑进了网站服务器，拿到了你的密码信息，也不能读出明文，而是需要通过密码字典破译。破译的难度和密码的复杂度成正比。也就是说，如果你的密码足够复杂，以目前计算机的算力，仍然难以被破解。

事实上，看似精明的宋喆在网络安全意识方面还不及一个普通人，他的密码之简单令人发指。确切来说，他的常用密码只是自己名字的拼音，或者在前后加上自己的生日。这才造成了短时间内一连串账号被破解的悲惨遭遇。

那么问题来了，应该怎样设置密码才安全呢？

林伟告诉雷锋网，密码应该和电影一样，至少分为三级：

第一级：

iCloud 密码、微信 QQ 密码、支付宝密码，应该设置十位以上，数字字母符号混排的无意义字符(如果你喜欢记忆有语义的密码，可以采用一个技巧，那就是用0代替o，用1代替i，诸如此类。)

第二级：

京东、团购、外卖等常用网站，设置八位以上，数字字母符号混排的无意义字符。注意密码排列不能和第一级密码有部分重合，否则一旦破译了二级密码，可以直接以二级密码作为字典，轻松破译一级密码。

第三级：

一般网站，为了照顾自己的智商，可以采用容易记忆的相对较弱的密码。同样注意不能和其他两级密码有重复，否则极易功亏一篑。

 

【提供几个高强度密码供童鞋们参考，忘了别怪我】

(责任编辑：安博涛)