據說現在黑客能輕而易舉獲得別人郵箱的內容,是這樣嗎?應該如何保障自己郵箱信息的安全?


  • 使用國外的郵箱。使用https登錄。

  • 設置長而複雜的密碼。建議11位以上混合大小寫數字及符號。比如InEd834mNd這樣。不要在密碼中重複用戶名或者生日。別問我怎麼記住。自己想辦法。

  • 給網站劃分等級。不重要的網站使用簡單密碼,被破解也毫無損失。重要網站使用複雜密碼。極重要的網站如銀行,使用非常複雜的密碼。不要嫌麻煩。嫌麻煩就沒辦法保密。世上沒有免費的午餐。
  • 密碼找回的方式也要夠保險。假如點擊郵箱A的「密碼找回」之後,密碼會發送到郵箱B,但郵箱B的密碼非常簡單已經被破解,那麼黑客就可以順勢破解郵箱A。郵箱A的密碼就算再複雜也沒用。
  • 保證計算機沒中病毒或者木馬。木馬可以捕獲你的鍵盤輸入,這樣再複雜的密碼也沒用

  • 除非確定安全,不要輕易點擊陌生人發來的郵件里的鏈接。不要輕易打開郵件附件。釣魚的人會使用各種聳動的標題引誘你打開附件或點擊鏈接。比如某某艷照門,某某秘聞等等。


密碼破解現在已經不在是窮舉的年代了,100G的各大論壇網站用戶密碼資料庫 直接完爆 普通人。

例:貓撲、人人、7K7K、178、多玩、CSDN,搜索 網站+用戶密碼泄漏

------------------------------------------------------------------------------------------------------------------------------------------

其實大家一開始都是自力更生的,因為開始的時候還沒有那麼多資源共享出來,都是小範圍內部流通。

所以一般的做法是,先百度或者谷歌搜索 你的郵箱,看看你郵箱在那些論壇或者網站留下來過。(特別是用 郵箱作為 論壇網站 的用戶名)

最普遍的就是論壇的回帖「樓主好人,一生平安+郵箱」,下一步直接入侵 該論壇伺服器,脫下 數據褲然後找到你的用戶名和密碼,再接下來就能用這個論壇得密碼+上之前得郵箱賬號去破解你的郵箱了

PS:

1 ~ 國內論壇都 使用 DZ(Discuz)、PHPwind這些漏洞 多多的 建站程序,而且特別是DZ這貨我真的不想多說,漏洞多如牛毛,往往當一個新的漏洞出來的時候,大家紛紛使用漏洞直接 到 各種需要的 小論壇 去脫褲,然後備份,基本你手裡就有 大量用戶數據信息了。

2 ~ 網站漏洞也是有生命周期的,往往一個新的漏洞出來後,官方公司會在3-5天內發布漏洞補丁,所以不能指望一個漏洞吃很久,當然一些 專門研究漏洞 的高手 手裡面還是有很多獨門漏洞的,而我們現在得到或者發現的漏洞 其實 是人家玩膩了 然後扔你們骨頭一樣搶。

3 ~ 其實上面拖完庫還有一步工作要做的,就是解密,因為一般的 程序 都不會把你的密碼 明文存取(除了CSDN那個傻逼),會進行一層 md5 或者md5+ssa 的加密,然後存取。(驗證密碼用戶名的辦法是把你的密碼用一樣的演算法加密 然後 和資料庫存的對比,如果加密後的結果一樣那就通過)

這個時候我們脫出來的庫要進行 md5 的破解,不過如果是一般的(0-11為數字)或者(0-11為數字+字元)是很簡單的,

一是 有專門的網站 進行破解 可以看這裡 cmd5破解範圍-discuz密碼破解,vBulletin/md5(phpbb3)

二是 你去下一個120G的 彩虹表 來對比。

當然 如果 你的 密碼 是 36/12位數字+特殊符號+大小寫字母,我相信除了你是 國家領導人或者核彈發射密碼 沒人會去 花上 17134年 破解 你這個坑爹密碼。


儘管近年有很多關於網站密碼泄露的事件,但不排除部分是炒作、炫耀,導致風聲鶴唳,可惜很多網站的後台安全確實不怎麼上心。個人要做的是少留真實信息在小網站上,社交網站特別要注意合適的密碼設計與保管:如何管理好自己的密碼?


黑客不會被任何框架所束縛,寬且至少破解一個郵箱密碼,真的要做的話基本沒難度,想保住內容不給獲取,你可以把自己變成黑客,或者說養成黑客的職業習慣,所有網站密碼相似,但不同,便於自己記憶,第一時間能想起來,每個網站從不留下跟自己相關的任何信息,包括頭像,個人愛好,以及一系列資料設置,用戶名起一些知名的關鍵字,比如范特西2012,不利於搜索引擎搜索到你的資料,郵箱使用兩個或多個,其中一個為垃圾郵箱,便於第三方網站註冊時用,私人郵箱使用gmail,多重驗證,每次收發後都立即清空,防止被破解後獲取到資料,從不發微博人人,或者嚴格管理自己的發言,盡量不涉及喜好,身份,地址等。

能做到嗎,雖然看起來很累,養成習慣就感覺沒什麼差別。


使用Gmail,開啟兩步驗證法


話說如果想獲得別人的信息,單從郵箱是不太可能的,不過郵箱是一個很關鍵的鏈。

比如我前段時間的一次信息獲取經歷(:

-

此事起源於一位朋友的控訴:戴綠了

一日喝酒,喝的興起之處,朋友悵然:當年(3年前)我TMD被戴了綠了,要不是XXXX,我TMD早就....

朋友們相勸,可不要衝動,搞一搞那個渣男就好了,我自告奮勇,決定幫他查出前女友的信息,然後看怎麼搞一下。

由於期間工作的原因,周期較長,大概1個半月後,那位姑娘的信息基本就曝光全了,在此寫個時間軸方便大家知道過程(非專業 勿噴過程)

====================

通過其前女友的QQ號(已經非好友)嘗試申訴(暫時未果)

通過QQ號郵箱嘗試登陸icloud、微信、校內、學信網、支付寶等平台,其中icoud和校內、學信賬號、支付寶正確

通過支付寶的找回密碼功能(會選擇哪種找回方式),獲得手機號關鍵後四位、身份證部分位數

通過地區手機號碼匹配地區形成號段,以號段搜索微信,成功找到

通過手機號、姓名等信息輔助以及【運氣】,成功申訴成功icloud密碼,因為朋友用其名字+出生日期的方式猜測了幾個密碼,竟然有一個是對的。

------------------------------------

打開icloud基本就是打開了潘多拉魔盒,裡面的東西應有盡有,甚至還有身份證的拍照、銀行卡的拍照以及各種聊天信息,哇!

通過icloud里的有用信息,成功獲得學信網賬號密碼、校內密碼

登陸學信看了看,沒什麼有價值信息,校內獲得其另外一個手機號碼

通過icloud里的一個汽車出險信息,成功獲得車牌號、大架號、投保信息

聯繫了一個賣保險的,報給他以後成功獲得車主、車型等信息

通過icloud的定位功能成功獲得其位置信息、所有通訊錄

====================

更為關鍵的是獲得了其與現任的露骨聊天記錄,哇!

====================

至此,基本就可以了,朋友感激涕零,決定搞一下就撤

首先,通過群發給其所有通訊錄的人發了一段簡訊,控訴其是個BZ,解了心頭之痛,大概400多個人,包括家人、同事、領導【某機關事業單位】(朋友當年真的很悲催,3年戀愛陪讀研究生,臨畢業發現其跟別人去開房捉姦在床)

之後給其現任用新申請微信加好友,告訴他之前的一些事以及幾張床上合影(聽了我的話打馬了)

最後icloud丟失模式,抹掉所有,關機。

====================


不怕google查,就用gmail,有密碼異地登陸都不行


現在各大網站的資料庫滿天飛!破解普通用戶的密碼還是很容易的!


公司企業郵箱,密碼+簡訊驗證。但照樣被盜,被盜後黑客仿冒我的郵箱給客戶發郵件,讓客戶打款。並仿冒客戶的郵箱給我發郵件,一直拖延付款。以致客戶催交貨才發現這個問題。


盜號絕大對數是由於弱密碼引起的,少部分是由於病毒木馬引起的,只要你平時注意,修改強悍的密碼就可以了,具體密碼保護方式你可以參考十種方式幫您保護電子郵件密碼。


很重要的一個建議,儘可能的使用國外的郵箱,並且使用https協議。不要使用不加密的郵件客戶端,

國內很多郵箱的登陸驗證使用的是https,但webmail發信和收信完全明文,走的是http協議。pop3和smtp這兩大協議也是明文傳送數據,包括用戶名和密碼(印象中用的是base64編碼)。

做到了通信通道的保密就可以防止很大一部分被動攻擊了。

然後就是密碼安全了,養成好的習慣吧。


至於加密嘛, 不好說, 反正我們除了用md5外, 經常故意把base64(本屬於編碼演算法)的編碼表搞亂, 有時候也會自己寫點簡單程序依按照給定密匙移位來加密. 理論上後兩種應該都屬於對稱加密, 獲得一部分密文和明文後, 是有辦法破解的. 我不是搞加密的, 不怎麼懂, 但是應該也沒像你說的"能輕而易舉獲得別人郵箱的內容"吧.


Gmail的2步驗證最保險。除非你手機和密碼一起沒盜了


破解速度根據黑客水平,你郵箱價值,OS內是否有木馬,密碼強度,網站的安全設計等而定。現在的網路速度和計算機運算速度都提升很快,簡單的密碼很容易被爆破


沒必要,自己嚇自己。高手只要知道你的郵箱,就能破解你的密碼。所以防你是防不住的,按正常情況做好保密就行,黑客不會對每個人都感興趣的。。


推薦閱讀:

黑客小菜鳥怎麼從hacking team泄露的資料快速學習?
對於黑客,知乎上的大牛都喜歡回答,那麼這個大家怎麼看?
CISSP現在在國內是什麼情況?
2013 年的互聯網安全嗎?
參加 DEF CON、Black Hat 這樣的大會是一種怎樣的體驗?

TAG:網路安全 | 信息安全 | 郵箱 | 個人信息安全 |