密碼設置需警惕 太簡單小心"撞庫"

日前，浙江省公安機關在打擊整治網絡違法犯罪“凈網行動”中，破獲了一起黑客攻擊案，犯罪團伙利用阿里漏洞，獲取了淘寶賬戶信息約9900萬條，其中2059萬個賬戶確實存在并且密碼吻合。對此阿里集團稱，泄露事件是由于部分用戶在其他網站使用了和淘寶相同的賬號密碼，被不法分子利用。

據悉，“凈網行動”破獲的黑客團伙通過黑客手段獲取的賬號主要用于淘寶刷單、搶單并出售給詐騙團伙，黑客這種嘗試利用其他平臺密碼登錄淘寶賬戶的行為被稱為“撞庫”。對此，阿里集團相關通報稱，“撞庫”是互聯網常見的黑色行為，被“撞庫”的網站和用戶都是黑色行為的受害者，對于被“撞庫”的賬號用戶，淘寶已第一時間發送安全提示和密碼修改提醒，并采取臨時保護措施，直至用戶完成密碼修改。

記者搜索發現，在一些論壇，不少網友反映存在淘寶等網站賬戶信息被盜的情況。一些論壇里甚至還有一些賬戶信息提供給用戶免費下載。記者測試發現，這些賬號密碼的確大部分可以在淘寶網登錄。在蘇州曾發生一起支付寶被盜32萬元的案件，最終發現罪犯是用2元/個的價格向別人購買了上百個有效的支付寶賬號和密碼，在網吧及賓館里偷偷黑進別人的支付寶賬戶，進行了轉賬行為。

在現實生活中，很多人在登錄不同網站時為了方便好記，往往喜歡用一模一樣的用戶名和密碼，所以“撞庫”的人經常都會有所收獲。網絡安全工程師梁工建議，對于一些重要的賬戶，應該采取單獨的、比較安全保險的密碼；把涉及錢財的賬戶名密碼和一般生活用的賬戶名密碼分開設定。另外，要保持定期修改密碼的習慣。

什么是“拖庫” 什么是“撞庫”

據了解，“拖庫”和“撞庫”是計算機業界黑客手段的專用術語。簡單來說，黑客用技術手段入侵一些安全防范性能不是很高的中小網站，取得大量的用戶注冊名和密碼數據的行為，就是“拖庫”；然后，再把這些用戶名及密碼跟網絡銀行、支付寶、淘寶等有價值的網站進行匹配登錄的行為，就是“撞庫”；在實際操作中，黑客往往是通過專門的“掃號”軟件，批量驗證賬號和密碼是否有價值。（記者陳慶輝）