多招教您防护自己的账号安全
我们来玩个游戏,最担心的就是账号被盗被洗。只要有利益可图,盗号者(洗号者)他们就会一直活跃。
为此,我们需要加强自己的防护意识,保护自身财产安全。
三感大佬提携
很开心您能看到这个页面,如果您是一个安全大佬,可以为本文提供一些建议,以方便让更多的人受益。
小T同学才疏学浅,文章所写的内容,已经超强发挥,能得到大佬的指点,实在 感恩、感动、感谢!
联系 QQ:87182380 | 点我QQ联系
三感已送,各位好学之士,不如坐下来喝喝茶水,认真看看,学以致用。
本文由夏老师教导
夏老师之才,经天纬地,夏老师之为人,虚怀如谷,让人叹服不已,真恨不得拜在夏老师门下,做一个端茶奉水的弟子
开篇:【洞察秋毫·无所遁形】
引:知己知彼,百战不殆。
要想防范盗号者(洗号者),必须先了解其手段,方能对症下药,让盗号者(洗号者)们无从下手。
让我们先从简入手,学会此法,大可放心畅游网络。
入门篇:不告知密码给别人
需知:
账号密码多一人知晓,就多一重风险,越少人知道越好。
许多人的账号被盗被洗,无非是自己直接把账号密码信息告诉别人。
这等同于对着别人说:号就给你了,盗不盗,洗不洗,你看着办。
而能得到账号密码来说,无非就两个字:信、义
人心不古,还是需要多多防范。如果真有朋友能告知账号密码给您,请 多多珍惜!
一般多是以下情况会发生直接告知账号密码信息:
- 1、好友
- 2、代练
- 3、代卖等中介托管等
💡知其所以,防范有招
1、交友需要谨慎,能不告知账号密码就尽量别告知,真需要时能发动态密码时就发动态密码,二级密码是最后的保障,请为贵重物品上锁或放仓库。
事件:著名狗哈盗洗多名好友账号,其盗取道具价值已近十万人民币。
2、代练别贪小便宜,现在很多低价都是外挂代练或以洗号为目的,号没了就损失大了!贵重物品上锁或放仓库,二级密码别泄漏,代练前改个简单的密码,代练过后请 马上 更改密码。
事件:著名好奇主播,经多年代练,积累了无法想像的账号记录,其盗取的道具价值已近百万人民币!
3、代卖等中介托管,能自己上号交易就自己来,实在是忙,请选择可以信任的。
事件:著名代卖离心,其利用群主身份,已经盗取多个群友的道具或代卖道具,其盗取的道具价值多达几万人民币!>>戳我了解详细
初级篇:防范不可信的程序
许多盗号者会想尽办法,让您的电脑运行他们的盗号程序。
这种类型属于比较低难度,手段不高。但是,由于受害者轻视,往往会最直接快速进行盗号。
如何才能让您心甘情愿接受他们的盗号程序呢?他们会分析您的需求,您在什么情况下,需要什么,就是他们的机会。
如:
- 新人入坑时期对需要的一些官方程序,他们直接提供给您
- 畅玩游戏所需要的加速器,他们提供给您
- 自己嫌弃官方游戏下载或者更新包下载慢,他们提供给您
- 想体验外挂,他们提供给您
- 想 ... ... 他们提供给您
看,他们是有那么多机会可以直接把盗号程序发送给您。更甚至,还能赚上一笔额外的费用。
比如,您需要虚拟双开,收您的钱办事,再加洗号服务,两全其美,岂不美哉。
他们一般会使用下面这些途径进行传播:
- 1、一些网站
- 2、群内上传的文件
- 3、网盘的分享
- 4、一些非法程序
- 5、邮件里的附件
- 6、直接发送文件
- 等等
这类的文件,一般盗号者都会进行做免杀处理,不然,很容易会被一些杀毒软件拦截。
小记盗过号的加速器
【昱昱加速器】,明着来猖狂盗号,收割完才跑路。
【KK加速器】,坊间传言有盗号嫌疑,现已跑路,小T未获取到实际证据,未证实。
【小明加速器】,坊间传言有盗号嫌疑,现已跑路,小T未获取到实际证据,未证实。
💡见招拆招,以下习惯可以有效防范这些盗号手段
- 1、养成良好的上网习惯,不要访问一些 X 网站
- 2、不轻信别人发来的文件
- 3、使用专业的杀毒软件,而非打着 “安全” 旗号,却整天推广广告的软件
- 4、远离非法程序,多使用正版系统和软件
- 5、开启 UAC,别关了用户账户控制!
中级篇:防范社工(社会工程学)及弱口令
人的记忆是有限的,为了加强加深账号密码记忆,本着方便记忆的本性,往往会有着账号统一、密码统一的坏习惯。
而这,会让盗号者们有更多的发挥空间。
要想盗您的号,首先需要知晓您的账号,其次才是密码。
由于多数的人都是相对依赖 QQ ,如活跃于交流群、交易群、家族群、工会群、社交群、吹牛群、学习群等等群里群外的。
而这 百分之九十 的人都是使用 QQ 邮箱作为账号,以方便记忆。
您看,这就是社工的一个环节,知晓您的账号,非常简单!
由于本文并不是传播相关盗号知识,只是传播防范知识,故,社工这一环节,点到为止,如需了解更多,请自行网上查阅相关知识
而今的人们,都是活跃在网上,谁不是拥有多个网站的注册账号,而这,也等于是把自己的密码告诉各大网站。
熟不知,每个网站的安全性并不相同,而这也导致了密码泄露的根源所在。不信,随意网上搜索相关社工库,就可以查阅许多泄露出来的账号密码(请勿传播社工库,切记!)
也许您找不到,但并不代表盗号者们没有渠道,他们拥有的资源是您无法想象的。一旦一个破,则各个破。
得到您被泄露出的密码信息,可以直接猜解您所使用的密码。而弱口令则更为简单,直接尝试。
检测自己的信息是否有泄露:>>戳我进行检测
💡防范方法:A、重要账号能开两步验证(短信验证),请一定开
什么是两步验证(或短信验证)?
就是即使您的账号密码被泄露了,别人拿不到下一步的验证,也是一样无法进行盗号。
这比起没有开启两步验证的账号来说,安全性更有保障。
如果您很多重要的账号还没使用两步验证,不妨从现在起,开始使用吧!
新枫之谷(TMS台服冒险岛)的台号扫码登录并不是两步验证!
💡防范方法:B、创建自己特有的密码记忆体
统一的密码,只要一个被攻破,则等于全部被攻破。
我们可以为每个账号都设置不一样的复杂密码,这能让自己的安全系数提高数倍。
但是,网上账号那么多,怎么才能更好去记这么多密码呢?
且看:
- xTxgQTG74As 假装自己网站的密码
再看下面一组:
- hkxgQTG74Un 假装游戏的港号密码
我们比对一下这两个密码,他们都有一串:xgQTG74
这就是密码记忆体!
密码生成是使用网站的:前缀 + 记忆体 + 后缀
当然您也可以组合特有的方式,以符合自己。
如何创建自己的密码记忆体呢?
前面使用的 xgQTG74 其实是这样的一句话:西瓜抢图狗74
这样就很好记忆了,因为西瓜抢我的图很恶劣,我要到处抢回他的图,还因抢他的同时,抢错人了,导致另一个西瓜粉转黑了,太难了。
当然,生活中总得来些美好的。
比如:
xgNZ6! 简单的记忆体:西瓜你最六 + 符号
如果没有灵感,您可以从生活中的一些美好事物里发现:
比如一首最爱的歌曲缩写
比如最爱的爱人相关信息缩写
等等
当然,使用上面列举的信息,需要多注意社工防范。
去尝试组合一下自己的复杂又好记的密码记体吧!
TIP
创建的复杂密码,长度最好能有 16位 以上,这样能更有效防止别人破译
💡防范方法:C、使用密码管理器为自己的不同账号分配随机密码
方法 B 所创建的密码记忆体,毕竟有规律可寻,要是被有心人知晓自己的密码记忆体加密方式,依旧会有危害到其他网站账号的风险。
为此,小T同学更推荐大家使用随机的密码,长度设置为每个网站所支持的最大密码长度。
当然,使用这个方法之前,先给自己的账号分级,并不是所有的级别都适合使用:
- 重要的如支付宝、银行、QQ、微信等和金钱相关的,建议为每个设置另一个复杂的记忆体进行加密码
- 其次是相对重要的,又常需要输入的密码,可以使用另一种记忆体进行加密,或者直接使用密码管理器生成的随机密码
- 次要的可以直接使用密码管理器生成的随机密码
使用密码管理器,都是需要一个主密码(账号密码登录使用)进行管理,当然,有些密码管理器还会有二级保护密码,或者其他保护,在这,小T同学只讲解主密码为例。
由于使用密码管理器,会管理许多账号的密码,主密码的复杂程度及长度是毋庸置疑,那么,再使用密码记忆体就显得不够份量。
为此,小T同学献上一招:
使用一段方便记忆的、可以是中文、数字、字母、其他文字组合,然后使用固定的转码方式,进行转码后再使用另一种转码方式,可以得出非常长的不规则密码。
DANGER
注意:请一定使用固定转码,不要使用动态的加密方式!不然,生成的密码每次不一样,将会导致您永远生成不出最开始生成的不规则密码。
如果使用类似 MD5 之类的摘要算法,请您确保自己使用的版本,因为有些摘要算法是有多个版本的。
大家可以找找 Unicode UTF-8 base64 等固定转码方式。
如何使用,可以参考本文的:防范方法:D、实例生成好记的复杂密码。
TIP
如果找不到好的在线转码网站,您可以尝试安装 DevToys 软件
直接在 windows 应用商品搜索安装
可以使用【编码/解码类型工具】里的 base 64 以及【生成类型工具】里的哈希散列。
TODO:撰写相关密码管理器文章以作推荐
💡防范方法:D、实例生成好记的复杂密码
下面 小T同学 举个例子,让大家感受感受:
我为密码管理器设定的主密码为:我是小T同学
声明:本实例只为演示,请不要直接使用结果为自己的主密码,直接使用后果自负!
首先,先对主密码 我是小T同学 进行一次 “base64 编码转换”,结果为:
5oiR5piv5bCPVOWQjOWtpg==
再使用一次 “sha 512 大写取值”,结果为:
E9D8D0245C1D29BC457CD98C02D88F9D24E6DA755C2617DF94AA6BAB276264C207DF856FBF9A3F995951D4C949A1D8F3A9AE60395FF5B98AD2881BB4CAE41F2E
这样是不是有点像随机密码了,还不够安全,要想更安全的密码,就使用不可逆的去加密,这里再次使用 MD5(大写) 加密一下:
ED5697294108471F406DC053032AA47A
结果是安全了些,但是长度可能不够,我们可以来个简单的处理,直接把 MD5加密的结果,多次复制,密码长度就是这么简单,下面是复制 5 次之后的演示:
ED5697294108471F406DC053032AA47AED5697294108471F406DC053032AA47AED5697294108471F406DC053032AA47AED5697294108471F406DC053032AA47AED5697294108471F406DC053032AA47A
重要提示,请记笔记
MD5 虽然说不可逆,但是,网上依旧有着许多的范本以供别人快速查看。
简单的密码早已经不再安全,建议无论如何,都使用 sha512 编码一次(注意:要记得使用的是大写还是小写),再把结果使用 MD5 加密一下。
MD5 加密请使用 32位 的,也要记住使用的是大写还是小写。
看,复杂的密码就是这么简单,只需要记得最开始的文本,再记住进行了那些转换,几次转换,就完事了。
So easy !!!
可以尝试在结果里一些易记的地方额外增加字符符号,或者调整顺序,或者再使用别的固定转码,当然,越多复杂处理,意味着自己要记得这些处理,一旦忘记,我也帮不了您,请您量力而行。
高级篇:防范中间人进行网络监听
这种情况,不管是在手段及技术层次,都高明多了。
由于橘子使用的是明文传输,这会更进一步造成此方面的安全隐患!
他们常用的手段有:
- 1、通过你的电脑代理接管,进行分析网络密文(如:伪装成加速器或者本身就是加速器)
- 2、流氓软件偷偷记录
- 3、入侵路由,接管路由后,全面监控所有数据(这种类似 WIFI)
- 4、网路上层拦截(这种数据量太大,除非明文传输,不然,没人会去分析这海量的数据)
- 其他等等
这类的方式,除了第一、二种是在本地的,其他的都不是本地能防范的。
由于中间人并没有进行键盘记录等操作(流氓软件会进行键盘记录),所以,他们看到的密码信息多是加密后的信息。(不排除有些软件使用非常弱智的明文传输)
💡见招拆招,一起学习下面招式
- 1、为网络上不同的网站使用不同的密码,并且密码要复杂些,长度长些,加大密码被破解的时间,并做好不定期修改密码。(最好能使用随机密码,多以密码管理器生成)
- 2、远离流氓软件
- 3、不使用不安全的加速器
- 4、不使用不安全的路由器(比如某某路由器已经爆出重大漏洞了,还没进行修补)
无奈篇:攻破游戏数据库,直接拿号
好吧,这已经不是玩家的事了。
橘子的数据库同网易之前那样,使用明文记录!
强烈建议使用随机密码!!!