3月5日，江苏常州警方联合宣布成功地捣毁了一个专门针对社交聊天及大型网游的木马盗号团伙，跨五省抓获包括木马作者、木马代理等犯罪嫌疑人4名，查获盗号木马源代码4组、被盗账号上万组。

经调查，木马作者余某年仅20岁，广西玉林人，只有初中文化程度。警方表示，余某沉迷网络多年，在网络黑产者的诱骗下误入歧途，通过编写盗号木马牟利。

2014年4月开始，余某自行编写木马后，委托混迹于网络黑色产业多年的展某担任盗号木马的总代理，展某在成功盗号后，再通过李某、黄某二人对外出售牟利。

目前，此案的3名主要嫌疑人分别因涉嫌“非法获取计算机系统数据”和“掩饰隐瞒犯罪所得”，已被批准逮捕，案件正在进一步审理中。

据悉，2014年11月下旬，某微信公众账号接到多个来自江苏常州的网友举报，指在玩网络游戏时遭遇了钓鱼登录框，一旦输入账号密码，聊天账号和游戏装备随即被盗。该项目组调查后发现钓鱼界面背后是一款名为“FM木马”的盗号软件。

现在几乎是个网站就会要你注册一个账户，而且都有着各种各样的密码强度要求，必须包括大小写、必须包括多少位字母等等。一个两个倒也无妨，但是多了也难免让人崩溃。每每看到新闻上说的某某网站被撞库或者被拖库的时候，我就心里一阵颤抖。

我的密码，你还好吗？

一些基本工作

抛开网站被黑掉这种小概率的事件不谈，先来说说我们自己能够做些什么，来保护我们的网络账户。

不要在公共计算机登录敏感账户的密码，因为你永远不知道有多少人碰过那台电脑；

记住自己的账号恢复代码或者密码验证问题；

把重要的账号绑定手机并开启登录通知，这样会在异地登陆的时候获得提醒；

不要用同一个邮箱注册太多的账号；

另外就是，几乎每个账号通过你的邮箱注册的。这意味着一旦主邮箱失守，那么基本上所有的账户都得失守，毕竟很多网站找回密码只需要一封邮件。

所以，一定要给重要账号开启二次验证（或二步验证）。

现在很多主流的邮箱和账户都提供了二次验证功能，微信本身则是自带二次验证。二次验证指的是在输入密码之后，你还需要通过其它方式（如身份验证器、手机短信、语音电话等）来确认登录人的身份。

虽然有的时候觉得二次验证有点繁琐，但是也不得不承认，这是目前最好的保护账户的方法。

我在 Gmail、QQ 、 iCloud 和爱范儿后台四个常用而且重要的账户上启用了二次验证，之所以没有全部启用，是在方便和安全之间作了一个权衡。

需要注意的是，开启二次验证的时候，系统会给你一个类似‘备用验证码’的东西。这个是做什么的呢？这里引用 Google 的解释：‘当用户外出旅行、无法接收短信或接听语音电话、或者无法使用 Google 身份验证器移动应用时，备用验证码特别有用。’

鸡蛋不要放在同一个篮子里

除了被盗之外，拖库和撞库也是黑客常用的手段。简单来说，拖库就是指黑客在拿到网站的数据之后获取了其中保存的密码，而撞库则是使用已有的账号密码来批量登录其它网站。

所以，千万不要在很多个网站使用同一个邮箱的账户和密码，连一些大的网站都不能幸免，何况一些小的门户？但是那么多的网站和账户，怎么才能优雅地记住密码呢？

规律设计密码

一种办法就是把所有的网站密码按照某种特定的规律来设置，以下仅作示例：比如 QQ 的密码就是 qqJingzhe5，而爱范儿的密码就是 ifanrJingzhe5 。如此设置一个可以符合大多数网站的强密码即可以不变应万变。

当然，这种密码最怕的就是被熟人知道，因为一下子就能猜出来了，所以可以对密码进行变形。比如 QqJingzhe5 和 IfanrJingzhe5 这样，每次大写的字母不同即可。

使用密码管理软件

另外一个方法则是使用市场上的一些密码管理软件，如 1Password 、Dashlane 之类的，这类软件就是胜在方便。一方面他们可以通过浏览器插件在浏览的时候快速登录，另一方面他们还可以自动生成无序列的强密码，从根本上杜绝被撞库的可能。

但是，如果密码管理软件的密码泄露了或者被拖库了怎么办？除了自求多福之外，最重要的就是不要把敏感的密码保存在里面啦。毕竟最安全的地方就是自己的脑袋，谁都没有办法心里感知发现你脑袋里的密码。

写在最后

我的想法是重要的账号密码，如支付宝（管钱）、iCloud（可能会被锁手机）、Gmail（主邮箱）这些，都设置专门的独立密码，只记在脑子里并且开启二次验证保护。而象是印象笔记、QQ 这些我都是采用的变形密码方便记忆。至于有些奇奇怪怪的论坛和小网站，我都是用的 Dashlane 来管理，忘了也就是一封邮件的事情。

其实保护密码不是最难以做到的，最关键的是你愿意为保护自己的账户付出多大的代价，即如何在安全和方便之间做一个平衡。

愿被盗号这种倒霉事，你永远都遇不到。

微信扫码关注

每日推送新鲜资讯