微博单日拦截盗号3.5亿人次:支招如何巧设密码-风君雪科技博客

  可能是被上周 Twitter 盗号风波所警醒,新浪微博发布《关于互联网账号安全现状和微博账号安全策略的说明》。

  微博指出,账号被盗的发生基本包括以下四种情况,即一套账密走天下、客户端钓鱼、暴力破译简单常见密码及网络劫持。

  微博称,上半年,微博单日拦截盗号已超 3.5 亿人次,10 倍于去年同期。

  关于如何设定安全密码,微博给出的建议是,首先选一句喜欢诗词歌赋或座右铭,例如“红装素裹,分外妖娆”,提取拼音首字母“hzsg,fwyr”,然后对固定位置或固定字母做大小写替换,再对形似数字的字母做替换,最后增加所属网站信息,就生成了你的专属微博账号密码,既保证了安全,也不会想不起来:

  w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

  以下为全文:

  关于互联网账号安全现状和微博账号安全策略的说明

  被网友广泛吐槽的账号被盗/异常点赞/异常关注等问题,引发了很多猜测和不实传闻,站方有必要就这些问题做出一些说明和澄清,回应网友的关切。

  一般来说账号被盗是怎么发生的呢?

  1. 一套账密走天下:使用相同账号密码注册多个网站,是用户方便记忆的上上选,却也是黑产的“好帮手”。若一家网站密码泄漏,黑产会用泄漏数据到各个网站尝试登录,扩大盗号范围。上半年,某外站邮箱注册的微博账号大规模被盗,系此类问题。

  2. 客户端钓鱼:一些 APP 商店上的非微博官方客户端,引导用户输入微博账号密码登录。登录的同时便将账号信息泄漏给了第三方。

  3. 暴力破译简单常见密码:以主流的手机注册为例,如 185 开头的手机号最多 1 个亿,随意搭配一个常见密码“Love1s1s!”(爱你一生一世的音译),进行暴力登录尝试。1 亿个账号中,碰巧使用该密码的账号就中招了。

  4. 网络劫持:在微博客户端(或电脑浏览器)与微博服务器之间,还隔着万水千山。互联网络、运营商、局域网,这些环节涉及众多微博以外的企业。而黑产通过对任一环节进行监听并截获网络数据,就可以轻松在用户刷微博的同时,替用户点个赞。是的,整个过程不需要知道账号与密码!

  上述情况之外,XSS 漏洞、病毒木马、手机二次号…… 盗号方式不胜枚举,上半年,微博单日拦截盗号已超 3.5 亿人次,10 倍于去年同期。

  如此趋之若鹜,盗号的目的又是什么呢?

  偷来的账号最直接的变现方式就是贩卖出去,卖给从事各种违法犯罪活动的组织、个人。然后再用买来的账号,更换低俗头像,发布涉黄涉赌枪支等博文和评论,传播违法有害信息,给违法网站引流进行营利。或进行恶意营销,给营销账号涨粉、转发、点赞,采用不正当手段提高博文的曝光量,牟取非法利益。这些行为已严重侵害平台合法权益,破坏微博正常的内容生态秩序。

  这种蝇营狗苟却又防不胜防,被盗用户抱怨之余对平台有一些怨言和不理解也是情有可原的。但是因此指称站方参与盗号交易,则是完全不符合逻辑和事实的。微博作为受害者,却被打成同谋,情感上也很委屈。

  为保护用户隐私与账号安全,微博先后推出多种账号安全措施——陌生登录提醒、双重登录验证等功能,并自动监测账号的异常活动并设置被盗只读保护状态。从今年 6 月以来,站方加大了对长期不活跃账号在陌生地点突然登录的拦截力度。7 月下旬,微博还将在登录环节逐步增加二次验证功能,只有当完成短信验证、客户端扫码、私信确认 3 种方式中任意 1 种验证之后,方可登录成功。

  最后,还要提到近期网友特别关注的去世账号问题。受制于用户真实社会身份与其互联网身份的脱节,微博缺乏有效获取过世信息的渠道,也就无从为去世账号设置必要的状态和保护。目前看来,解决途径主要有两种:使用者将账号委托他人,在去世后设置为去世状态;去世账号使用者的亲友,在得到账号信息后,联系站方设置为去世状态。微博正在寻找一个稳妥和便捷兼顾的方式解决这一问题。

  盗号问题一直是互联网一大公害,是各主流内容平台、社交平台、游戏平台的头等安全问题。作为一名普通的网友,要如何积极保护自己的账号安全?这里,教大家一个密码设置的小窍门。首先选一句喜欢诗词歌赋或座右铭,例如“红装素裹,分外妖娆”,提取拼音首字母“hzsg,fwyr”,然后对固定位置或固定字母做大小写替换,再对形似数字的字母做替换,最后增加所属网站信息,就生成了你的专属微博账号密码,既保证了安全,也不会想不起来:

  w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

  盗号现象得到有效治理,不仅需要平台与用户一起想办法,更需要全社会多方力量共同努力。在这一过程中,微博将始一如既往地为保护用户隐私和安全做出努力。