密码怎么泄露的，密码泄露方式

来源：互联网 2023-02-20 19:17:38 204

密码泄露一般4个环节，人的环节，本地设备，传输过程，服务器。

密码怎么泄露的，密码泄露方式

人的环节

1.猜——爆破字典攻击
猜，好比过去QQ空间权限查看，但都有一个问题和答案，一般你想看，都会尝试根据这个问题回答自己认为的答案吧。别说没有，哈哈我自己都试过。还有之前有过一个教育网站的管理员帐号泄露。账户名字就 name 密码是12345，像这种很容易猜的密码，就靠这个猜就把整个教育网站的管理员拿走了，进一步泄露了整个网站的用户信息。试想你的各种密码跟泄露的密码一样的话会怎么样。
该信息未经授权抓取自百度经验
2.骗——钓鱼网页邮件短信

本地设备

1.恶意木马
我们的电脑，手机，平板被恶意植入一些木马，比如我们玩游戏的时候会经常使用一些外挂，但这些外挂本身就自带恶意木马的，被你电脑的一些信息和游戏账户给盗走了。
2.恶意植入
比如给你发一份邮件，邮件里面有一个链接，只要你一点，就会在你后台自动下载恶意代码。
键盘监听
这个网吧比较常用，一般你在网吧看到机子上有一个小方块或者U盘的东西的话，千万不要用，这一般都是监听设备输入的设备。
建议，尽量不在公共或有潜在安全风险的设备上进行密码操作，没事别越狱，不ROOT。手机安装软件的时候弹出的管理权限，你可以按你需求设置，比如看视频的软件就没必要让他读取手机联系人等

传输过程

1.明文传输
设备把密码发到服务器的过程中，如果这是明问传输非加密传输，只要有人在中间拦截抓取，就可以直接知道你的用户和密码了。
2.wifi
现在的免费wifi是很普及的，比如星巴克，麦当劳比较大的连锁店铺都有免费的wifi，一般你认为这种wifi都是安全的，毫不犹豫就连接上了。所以你也不会认为这个可能是伪装的wifi，只要你连接上了这个wifi那能做的事情就多了。
2-1.内网监听攻击：PR攻击网卡混杂模式监听，可以监听你所有传输的内容
2-2.DNS被恶意篡改，劫持至钓鱼网站，比如你要到登录某个购物平台，你输入的网址没错，但会直接跳转到伪装度极高的钓鱼网站
2-3.蹭网卡强行共享他人wifi，可截取无线数据
2-4.HTTPS和HTTP
在传输的过程中，一般都会提到传输协议书，HTTPS的成本会比较高，好一点的证书一点都要好几万块钱，但它的整个传输的效率会比较低，因为证书在传到客户端的过程中要经过几个验证，你的证书比较差的话，验证可能会有4-5，5-7层这样，一个层的验证就代表一个服务商，你想想那么多个验证需要多少时间。证书好的话，可能就只有1-2层，速度是快了，但成本也明显高了，一年要十几万来计算的。
如果账号密码用HTTP传输都是可以被捕获的，捕获的账号密码虽然是用MD5加密的，但现在这种方式基本跟没加密一样，网上有各种在线破解这种密文的。所以一个网站安全将系数大不大，看看是用HTTPS开头还是HTTP开头就知道了。

服务器

密码再复杂，本地在安全，传输再可靠，服务商坑了其他都不白搭，只要被扒，什么信息都泄露了。比如小米论坛， 12306，网易163邮箱，大麦网。机锋论坛，CSDN，捂脸！还有我们的草榴网站都被扒过。
服务商密码泄露一般通过
1.远程下载数据库文件
2.利用web应用漏洞拖库
3.利用web服务器漏洞拖库
4.利用网站挂马拖库
5.传播恶意文件拖库
6.内部人员泄露数据库
7.社工网站管理员
密码泄露的四个环节，人——本地——传输——服务器，只要一方面坑了那都会泄露，而我们网友能做的防范只有人和本地这个，提高自我的安全意识，不用免费wifi，避过钓鱼网站，密码不要一样，如果嫌麻烦，也可以分层级，比如小说视频网站这种安全级别低的密码绝对不要跟网购，银行密码相同，不然等同拉低了其他安全度比较高的网站吗，木桶效应都哪里都适应。