从这次网易邮箱被破解看，如何避免被社工、避免重要信息泄露？
我的图书馆
从这次网易邮箱被破解看，如何避免被社工、避免重要信息泄露？
各位的回答都很专业，业余闲时研究 过去泄露的密码库里密码组成, 插科打诨，当然终极的目的是，以某社工库为参考，如果我知道你的用户名，破解你密码的概率有多大？或许顺带对大家设计密码有所帮助。2011年起有一系列重大网站密码泄露，csdn社区、人人网、多玩网、微博的部分密码数据都被挂到了网上(数据自行google，本文仅讨论思路，展示结果)。以当时微博的3315156条用户名密码数据，开始分析之旅。密码top20，都有些啥很容易发现规律，俺将此类密码的主人分五大派系：极懒派手势派规律派手机派生日派情感派极懒派：这3万多同学真是懒的令人发指,也刷新了哥的常识，喝喝...那时候微博竟然能通过一个字的密码。password也是老外的高频词，我不知道是不是某些网站输入框里password提示词的误导。单字重复型，如 11111，让我们深入发掘下。最有意思的是和@出现的频率，而这1000多用户，密码=用户名后半部分...极懒派.一字重复n次推广一下，统计形如 'aa', '11111', 'ssssssss'这类若干个相同单字的密码总数。 我统计了 1、2、3、4、5、6、7、8、9、0、q、a、z、w、s、d的频率分布，其中用'111111'型的用户最多 这些密码总计6w多人 占2%。 极懒派.用户名=密码上述统计不包含用户名和密码相同的密码，这部分密码共有多少呢?以 为例，我们统计这3种模式的数量之和：abcd@ 。99671个人，有点意外，整整占了3%呢!手势派：密码太长，能在键盘上排成一种形状，记忆成本就大大压缩，在密码排行榜上，和图形有关的密码是哪些？ 123456云云者，勉强算吧，在数字键盘划一字。同理qwerty开头的也是这个原理对此，我看到一位老外很牛逼地总结了20种模式:这个模式很牛逼，图上是键盘密码。但11年已经有很多人用手机上微博了。有不少这种手机键盘，因此很多密码为啥长也就迎刃而解了。规律派：记住一串数字的规律，我们就可以把一串简单的数字演绎成复杂密码，而你记住规则就好。很勉强，123456就是个等差数列 fn = n 而 13579是 fn = 2*n-1很多人会用叠词 如2233，或叠加后对称 123321 高分密码有这些:可以引申下，同样是数列，用了中学知识就不一样啦，假设我们让 fn = n^2, 我们就可以构造一个数列了：1 2 3 4 5 6 -> 1 4 9 16 25 36..我查询了含有1491625的所有密码，共找到30几个，真是海内存知己（因为曾经我也是这么设计的）同理 1 8 27 64 125 的只有3个人，高手啊如果你拿12345开根号、取三角函数、取对数，忘记密码，在手机计算机里算一遍（别忘了公式）。海内无知己，天涯只有你，你赢了！手机派：使用自己和亲人的生日、电话、手机做密码，已是我对普通密码的印象了，这部分人究竟多不多？用手机做密码，一开始我设置了11位的数字的条件，但是有很多错误的结果。好在网上有对手机号码检测的正则表达式，包含了2013年前所有的手机字段:移动：139 138 137 136 135 134 147 150 151 152 157 158 159 178 182 183 184 187 188联通： 130 131 132 155 156 185 186 145 176电信： 133 153 177 180 181 189虚拟运营商：170因此整理了一个可以查询手机号的正则表达式。最后经过统计，172418个同学用手机号做密码 占比5%。生日/纪念日派：我们查询所有包含年份的密码，这些年份都以19和20开头，且有4位连续数字， 考虑到5201314(我爱你一生一世)也是高频密码，且密码数据的时间为2011年，此时2013不该出现，所以排除2011年以后的年份，我们得到如下结果:543559个密码使用了年份，占总量的18%。 真不是小数字，但数据还是很复杂，有大量年份和字母，符号混合的，也不一定就是年份。那我们缩小范围，如果包含生日的有多少人？月份比较复杂，1月1日出生的，也许写11，也许写0101，也有1.1、1-1的。但后者其实比较少，且在在这篇分析里看到YYMMDD型的生日是最多的:我们查询包含这些318022个密码符合条件 占总量的10%。这批密码还是颇为复杂，因为很多人在字母和其他数字后加入生日的，仅以生日作为密码的人会有多少？答案是%的人仅用生日做密码，而其中，也有些奇葩的答案，如好几个'' 我去，这是xx团委的公众号么...情感派.因为爱情现实里压抑的我们难得一说我爱你，不论国内国外，都有很多人对着服务器许愿，说出 wo ai xx，这些我爱你型密码的总数让我非常震惊。这份密码数据里，woaini 以2659次重复荣居意义型密码榜首，iloveyou则不到woaini的一半。 但事实上文字版的都弱爆了，位居第五名的5201314（我爱你一生一世）有15000个人同时使用，还有各种变体..其中第13名最缺爱 7758521（亲亲我吧爱我吧）除了我爱你，我还爱谁？ 让我们查询任何含有 woai（我爱）的密码，还是基本都是在各种爱你.. 偶尔有woaiwojia woaishui woainima.. 有意思的是我爱我家，这中介公司的名字取得真是合理。 如果我们查询含有 'wo'字的密码，也会发现我最喜欢做的事情就是爱xx.. 除了爱你，我还爱谁呢，老公、老婆、妈妈、爸爸... woailaopo + laopowoai 的人数有291人 laogongwoai和woailaogong的人数有98人，这些都是少数派密码了。我们试试 我爱妈妈(201)和我爱爸爸(60)的比例，竟然也是3:1。出于好奇，我又统计了密码里包含'laopo'的和包含'laogong'的比例: 老公: 454 老婆: 1118 包含老公的密码基本都是形如: 'zuiailaogong'、 'qinaidelaogong'、 'pplaogong',我擦看不下去了，真是一部show恩爱宝典.. 爱老婆的数量还是完胜，可惜，这是一组良莠不齐的密码， 还是有不少形如laopo38、 laoposhizhu choulaopo laopocaolei sblaopo777 的密码...（总数还是不算多）相反，骂人的人比例很少，fuck shit cao说的人都不算多。而这其中，也有些有趣的点:鲁迅在杂文《论他妈的》中说他妈的是中国的国骂，但是时代变了，也许是受了上古十大神兽草泥马（当年暴走漫画王尼玛还没火吧），nima的频率2714次远高于tama 101次。也完胜 'fuck'、 'shit'、 'wocao'这些 400-500次之间的词。用什么字做密码最安全我不是黑客，不知破解算法是怎么做的，但只要键入一个字，就让你的密码与众不同，你会怎么敲？ 我们对密码里用到的所有字进行统计，得出下图 ：1是第一名，被300多万用户累计输入300多万次，1是一个很有趣的数字，超过60%的人密码会用到1，而30%的人会以1作为密码开头， 可以看到'.' '@' 等特殊字符，在符号里排名很靠前。曾经看到说用''在密码里较为安全，因为比'-'少，事实上也的确如此，但你何必按shift打号呢，','的比例比前面所有的标点符号都少我们可以看到，数据下降非常快速，有规律可循吗？将柱状图的大小全部取对数，那么四大阵营的阶梯形一览无余： 1-9排在了所有的字母之前，几乎所有的字母排在了大写字母之前你的密码安全吗？回到2011年，我在微博上找一个邮箱，然后破解你的密码，哥成功的概率有多大？前100名的密码,第一名的密码5882条,占5%。前10名的密码有316085条，占10%，而前100条密码共442555条，占 15%累计15%的人能被这100个密码破解。用户名和密码匹配(包含之前提到的前缀相同，后缀相同和 后缀+@相同)共99671人。累计计18%的用户都会在103次穷举后被破解。近100年的生日有365*100个，如果我遍历那么多次，总有一个是对的，这样我可以破解4%的密码。累计22%的人已经被破解。倘若我知道你的手机号码，5%的人的密码会被破解，累计27%如果我知道你的名字(这份数据无法分析你的名字和密码的关系) 这个比例会更高。2011年，1/3的人密码是不安全的。你觉得你的密码设计的科学吗？参考资料：谢谢看到这里的朋友，整个研究都是在mongodb和nodejs完成的，都很简单，如果对实现感兴趣 也可以在我的公众号(mathartworld)看看~ (二维码自动识别)
喜欢该文的人也喜欢首先，这个入口比较难找，我们一步一步来看，登陆邮箱，点击设置，如图。
点击设置后，点击邮箱手机服务，选择你要取消的手机，点击设置，如图。
进入之后，切换到手机服务菜单，如图。
找到你要取消的手机号码，点击替换。如图。
到这里是常规短信验证的流程，但是我们的手机号码不用了，没招，所以点击上方的“手机换号，无法验证”的链接，如图。
进入之后，点击马上申诉，如图。
填写你的邮箱账号，点击开始修复，如图。
填写相关的基本信息，如果，然后，用你自己当前的手机发送短信获取验证码，填入，如图。
滚动到下方，填写更多的相关验证需要的信息，填写的越多越详细越好，越容易公开申诉，如图。
再滚到下方，还有可以填写的信息，如果记得，可以填写更多，填写完成后，勾选上我已阅读并接受《网易通行证账号修复服务条款》的选项，点击提交资料。
提交等待几秒好，返回提交成功结果，接下来就需要等待了，官方给出4个小时后审核完毕，我们就耐心等待.163邮箱可以免费的绑定激活手机号码 是一个邮箱可以有两个帐号 就是所谓的一箱双号 有什么实际意义吗？_百度知道
163邮箱可以免费的绑定激活手机号码 是一个邮箱可以有两个帐号 就是所谓的一箱双号 有什么实际意义吗？
163邮箱可以免费的绑定激活手机号码 是一个邮箱可以有两个帐号
就是所谓的一箱双号
有什么实际意义吗？
我没觉得有什么额外的好处啊
就是一个邮箱多了一个账号而已
有懂得吗？
我有更好的答案
1、用邮箱绑定手机号之后，如果邮箱密码被别人更改了，系统会发信息到手机上，让自己第一时间知道邮箱密码被改了，通知自己马上去修改邮箱密码。2、用邮箱绑定手机号之后，用手机号和密码就可以登录邮箱。3、如果忘记了邮箱密码，还可以通过手机号验证来重新设置密码。
采纳率：94%
来自团队：
除了能用网易的手机邮外就没其它太大意义了。只是在跟腾讯的QQ邮箱争用户份额而已 手机邮是免费的。说你安全系数低是因为它想让你绑定手机，仅此而已。
本回答被提问者采纳
就是邮箱的用户名和你的手机号绑定，如果邮箱密码被篡改了会发信息到你的手机让你第一时间知道你的邮箱密码被改了，通知你马上去修改邮箱密码。
就是手机可以随时掌握邮箱的动态。。。
其他1条回答
为您推荐：
其他类似问题
163邮箱的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。网易邮箱被破，你的账户是否还安全?
　作者: 高博　编辑:
　　　　【IT168&评论】10月中旬，诸多网友微博反应称，网易邮箱被破解，邮3箱内容遭泄露，并波及到其他一些网易绑定的账户，其中有网友表示使用网易邮箱绑定Apple ID的手机已经被锁，数据被擦除。　　对于这一事件，网易反击不存在邮箱数据库被攻击和泄露，但乌云平台用户“路人甲”随即便提交了漏洞，称网易邮箱过亿数据泄露，其密保均为MD5存储，随后证实部分数据有效。　　针对此事件，应有的网络安全意识　　无论此次事件中网易责任有多大，网易都会根据自身的漏洞进行优化。我们在平时的账号使用过程中也保持应有的网络安全习惯，以此来保障自己的账号信息不被泄露，在平时的网络应用中，我们应有哪些事项需要注意，该采取哪些措施，我们特发起一次活动(http://bbs.chinaunix.net/thread--1.html)对此问题进行讨论，让我们仁者见仁，智者见智，一起来讨论一下吧。　　对于邮箱是会有定期修改密码的习惯?　　对于这个问题，我想很对人并没有这个习惯，很多用户注册账号设置密码时都是使用的特殊的日期或者对自己有着特殊含义的时间有关联，不想随意的改动。还有些用户是怕改来改去自己都忘记了自己的密码，容易产生混淆。　　网友chenyx说：“很少有人会定期修改密码吧，反正我是不修改的，关键是密码太多记不住啊。” 网友ylky_2000坦诚表示：“ 实话实说，确实没有更改密码的习惯，这点不好。分析下不更改密码的原因我有三个：一个是自己比较懒惰，这个是最重要的原因。第二个原因是有留意到，修改密码的时候，部分应用会提示，不能使用用过的密码，这就很头痛了。第三个原因是不同应用网站的密码策略不一样，各种字符的组合要求不一样，导致最后会有很多的密码需要记忆。”然而也并非所有人都如此大意，网友idiOt说：“有，因为现在的网络实在太不安全了，从客户端到服务器，传输过程都太不安全了。”其实定期或不定期的修改密码是很重要的，大家应该引起相应的重视。　　你是否会对每一个账户拥有一组密码，避免撞库威胁?　　随着网络的发展，每个人都有属于自己的多个账户，面对如此众多的个人账户，如果一个密码走遍网络，那撞库的可能性是相当的大。网友zsszss0000说“ 不会，密码多了就记不住了。”确实，密码太多记忆方面是一大难题。　　其实我们可以将账户进行简单的分组，设定几组密码，就不会一个号一个密码那么难记忆，在这方面很多人就做的不错。网友seesea2517说：“我会对每一种帐户配置一套密码，注意只是密码算法，密码本身不一样，但密码制作的算法一样，比如用一句话拼音首字母或英语语句，不同的网站类型用不同的算法，比如论坛不是那么敏感就简单点，邮箱重要点，支付宝什么的最复杂。”这就是一个很好的值得借鉴的方法。必要的网络安全意识还是要注意的。　　对于网易此次事件你有什么看法　　此次事件，对于网易来说是大了一记耳光，暴露出了网易的漏洞，对网易来说有一个警醒作用，日后肯定会多加注意，也不失为一桩好事。网友ylky_2000说：“表示理解。0day漏洞多的是，谁能保证绝对的安全呢?飞机、汽车都有失恋的时候，难道我们就不坐飞机汽车了吗?希望网易能积累更多的经验，做出一款大家喜欢、信耐、得到大家理解的产品。”　　但其出事后不能主动认识到自己的错误，而一味地逃避责任也让很多用户表示不满。网友seesea2517说：“对于怎么泄露的不懂就不做猜测了，但这个公关做的确实有点弱，国人好面子的特点又一次展现。其实承认问题，查找原因，堵住漏洞，赶紧通知大家修改密码避免损失才是正确的解决办法。”　　网友zsszss0000也表示称：“1、对于企业而言还是要加强信息安全的管理、让处理更加透明，诚恳一点，该道歉道歉，该补救补救，及时提示客户风险，今早打消客户的疑虑，避免事件持续发酵，造成企业形象的损坏。2、对于个人用户而言，还是要注意保护自己的隐私信息，重要的信息尽量不要保存在邮箱中，也不要不同的账户都设置相同的密码，互联网上已经没有绝对安全的孤岛了。”无疑，这次的事件对于网易，企业和个人都敲响了一个警钟。希望此事件能引起人们的网络安全意识。　　写在最后　　随着网络时代的发展，账户越来越多，个人信息也越来越多的走进网络，一个良好的网络安全习惯对当今时代来说是至关重要的。　　网络安全事件不断上演，对于各大运营商来说，最主要的是要做到尽可能的保证网络安全，消除网络安全隐患，给广大网民一个良好的安全的网络环境，广大网络用户也应当时刻注意，保持良好的网络习惯，保证自己的网络信息安全。
IT168企业级
扫一扫关注网易邮箱，免费邮箱用户的账号隐私和安全你就一点也不在乎么？
本人是一个老网民了，一直比较低调，不太喜欢在网上闲扯，但是今天实在心理有点堵得慌，不吐不快。
事情还要从我的一个使用了超过15年的网易邮箱绑定的知乎账号说起。我的知乎账号原名张松华（不是我的本名），大约是2011年左右使用网易邮箱申请的。因为当时知乎还是采用邀请注册，本人通过朋友得到邀请码注册了一个自己的账号，因为知乎账号当时也不容易申请就用我的网易邮箱注册了一个备用的知乎账号，知乎名叫张松华，这个账号很少使用，只是偶尔登录一下。
但是最近登录发现一个叫什么“X叔”的，在用我的这个备用知乎账号在做网赚的自媒体项目，我不知道这个“X叔”是一个偷盗者，还是因为知乎的系统漏洞，还是因为什么其他原因获得了我这个账号和密码。我第一时间通过我注册知乎账号的邮箱找回了密码，并且修改成了自己的手机号。本来以为自己的账号这下应该是安全的，谁知道这个“X叔”也够神通广大。
今天是日星期五，我晚上回家一直在看最强大脑，也没有看手机。到了晚上10点多的时候我打开手机一看，一条网易的短信提醒我，我的网易邮箱在湖北咸宁被修改了密码。我当时就感觉不可能啊，我的网易邮箱虽然是免费的，但也是绑定了我的手机号和我的QQ邮箱的啊。
其实从我开始接触互联网开始我就已经开始使用网易邮箱了（记得当时的网易邮箱容量好像还不到10M），用了没有20年也肯定超过15年了，一直比较信任，而且还绑定了很多的账号，也包括支付宝账号。但是从来没有想过原来网易邮箱是这么这么这么的不安全，或者说是网易邮箱是这么这么这么的不在乎用户账号的安全和隐私。
书接前文，我打开手机短信发现居然收到了不止一条的网易短信，其中有一条短信提示我的邮箱账号正在申请账号修复。我马上使用手机浏览器访问网易邮箱发现使用我的密码已经无法登陆了。我又马上在网上找到网易的客服电话，但是网易的客服已经无人接听了。我尝试使用手机找回邮箱密码，找回密码后却提示无法登陆，请稍后重试。
我立马明白是我的知乎账号的“盗窃者”又盗窃了我的网易邮箱，我又马上尝试使用我的邮箱登陆知乎账号，知乎提示我“该邮箱尚未注册知乎”。这一刻我真的是被气炸了，我使用了十几二十年的网易邮箱，就这么轻易的被“盗窃”了，我注册了七八年的知乎账号就这么被注销了（或者是被更改成盗窃者的邮箱了）。我不知道这个盗窃者除了注销了我的知乎账号外，还有没有窥探我邮箱里面的私人邮件，有没有想要盗窃我邮箱绑定的其他重要的账号。
如果看到我的邮箱里记录的重要的密码，重要的文件，甚至是支付账号的的密码会不会造成更严重的后果。
我马上尝试了所有能想到的补救措施，给网易邮箱的公众号留言，给网易邮箱的微博留言，甚至给“网易UFO丁磊”留言。我也同样尝试给知乎的管理员留言，给知乎的微信公众号留言，给知乎的创始人周源留言。
我不知道他们会不会看到我的留言，或者即使看到了会不会想要处理这件事。我也在仔细的思考这件事的前前后后，到底问题是出在知乎还是出在网易邮箱，或者是二者都有责任。网易作为中国互联网的先行者，是没有能力保证客户的信息安全，还是根本就不在乎客户的信息安全，亦或者是只在乎付费客户的安全，而不在乎免费客户的安全？
我不知道有多少用户在使用网易邮箱作为自己日常办公和生活的沟通工具，也不知道网易的邮箱里保存了多少客户的个人隐私，甚至有很多的客户在使用网易邮箱作为自己支付宝、微信或者银行账号的密保邮箱，如果网易邮箱是这样保护用户的账号安全的，那么我们还能继续信任网易邮箱么？
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点