12月25日，漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告，危害等级显示为“高”，漏洞类型则是“用户资料大量泄漏”。据悉，此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此，中国铁路客户服务中心回应称，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

当天，乌云平台继续发布消息称，12306的数据疑似黑客撞库后整理得到，而并非12306直接泄漏。那么什么是“黑客撞库”？我们一起来看看。

撞库：黑客通过收集互联网已泄露的用户+密码信息，生成对应的字典表，尝试批量登录其他网站后，得到一系列密码组合后可以登录的用户。

黑客首先会通过收集互联网已泄露的用户+密码信息，生成对应的字典表，然后再用字典中罗列的用户和密码，尝试批量登陆其他网站。如果用户图省事在多个网站设置了同样的用户名和密码，黑客很容易就会通过字典中已有的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。

之前某电商网站发生的“抹黑”事件，就是黑客利用“撞库”方法，“凑巧”获取到了该电商网站用户的数据(如用户名密码)，然后通过模仿用户评论，留下了大量差评。

有安全人士分析了此次12306的用户信息泄露时间，推断基本可以定性为撞库行为。理由如下：

1、随机抽取了一批账号(约50个)均成功登录12306，证明了该批数据是准确的；
2、随机联系了该批数据中的多个qq用户，均反馈没有使用过抢票软件且近期没有购票行为；
3、经与群中人员进行交流，并未有人见过该批18G的全部数据，普遍认为该批数据为撞库所得，并不存在18G的12306全部数据。
4、安全人员搜索以往互联网上的数据进行了匹配，从17173.com、7k7k.com、uuu9.com等网站泄露流传的数据中搜索到了该批13.15万条用户数据，基本可以确认该批数据全部是通过撞库获得。”

黑客团队从地下产业链收购海量用户名及密码数据，在12306、淘宝、京东等不同网站进行撞库匹配，而大部分网民在各大互联网平台采用同一套用户名密码，这会让黑客存在可乘之机。

有安全领域人士分析称，12306此次信息泄露依然和安全体系不完善有关，如果这次撞库发生在需要二次验证登录的系统中则不可能成功。

拖库：和撞库类似，拖库也是一个黑客术语，它指的是黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为，因为谐音，所以也常被称作“脱裤”。之前发生的某手机品牌用户信息大量泄露事件，就是拖裤行为的一个典型案例。在该事件中，用户名和密码大量泄露，黑客反过利用这些用户名和密码，登录该品牌服务器，获得了极其详细的用户资料，其中包括用户的手机号、邮箱甚至通讯录等。

洗库：在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如：售卖用户账号中的虚拟货币、游戏账号、装备等变现，也就是俗称的“盗号”；对于金融类账号，比如：支付宝、网银、信用卡、股票的账号和密码等，用来进行金融犯罪和诈骗；对于一些比较特殊的用户信息如：学生、打工者、老板等，则会通过发送广告、垃圾短信、电商营销等方式变相获利；另外是将有价值的用户信息直接出售给第三方，如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。

这里再次特别提醒用户，一定提高警惕，保护自己的帐户密码安全，尽量不要在多个网站或者客户端中使用相同的用户名和密码，并且不定时更换密码。参阅《江湖险恶 如何设置安全又方便的个人密码》

 不可否认，我们的生活已经被密码层层包围：打开锁屏手机，需要输入密码；打开电脑，需要输入密码；上QQ微信聊天，需要输入密码；登录微博论坛购物网站，需要输入密码；使用银行卡支付宝等等，更要需要输入密码……每个人都有自己的一套密码，密码后面就是我们的重要信息、隐私以及财产，其重要性不言而喻，个人密码的安全性和被破译难度将直接影响到用户的数据与信息安全。因此，为自己的各个账户设置一组难以破解的密码是构筑个人信息安全最重要一步。但如果密码过于复杂，连密码主人也难以记住，是不是又有点反人类？本文就来聊聊设置密码的注意事项以及如何设置既安全又方便的个人密码。

背景知识：弱密码与强密码

弱密码：指短密码、常见密码、默认密码等以及能被穷举法通过排列组合破解的密码，这些密码因为过于简单和常见，很容易被被快速破译。常见弱密码如下，大家看看有没有懒人还在用这些白痴密码呢？
太简单的密码：admin、abc123、password、aaaa
由于文化因素常用：888888、666666
常用键盘的键排列：asdf、qwerty

强密码：长度足够长、排列随机、使用大小写字母以及数字和特殊符号组成，不容易被穷举等破解算法破译的密码。下面我们列出一些强密码的示例（注：这些密码因为公布出来为众人所知，不再算做是强密码，仅作为形式参考。）
t3wahSetyeT4 -- 不是字典的单词，既有数字也有字母
4pRte!ai@3 -- 不是字典的单词，除大小写字母、数字外还有标点
MoOoOfIn245679 -- 长，既有数字也有字母
Convert_100£ to Euros! -- 足够长，并且有扩展符号增加强度
Tpftcits4Utg! -- 一串随机的各种元素的混合
akd,H‰‘U‘（#t*’№&*§÷×’u -- 含键盘上没有的字符

密码设置雷区：千万不要这样做

不要设定密码为带有生日、电话号码、QQ或邮箱等与个人信息有明显联系的数据，也不要采用字典中的单词，原因很简单，这些都属于弱密码。

不要在多个场合使用同一个密码：为不同应用场合设置不同密码，特别是有关财务的网银及网购账户，避免一个帐户密码被盗，其它帐户密码也被轻易破解。

不要长期使用固定密码：定期或者不定期修改密码，安全更有保障。

不要将密码设置得过短：密码越长，破解的时间也越长。如果不想让黑客在24小时内能破解你的密码，密码长度应该超过14个字符。

密码设置技巧：先设置基础密码，然后用统一规则叠加组合成不同强密码

首先选取一个基础密码，然后根据不同的应用场合，再按照自己设置的简单规则叠加组合一些其他元素。

基础密码+网站名称的前两辅音字母+网站名称的前两个元音字母：比如基础密码是“yesky”，那么要登录Yahoo时密码就是yeskyYHAO，登陆eBay时就是yeskyBYEA。

自己喜欢的单词＋喜欢的数字排列＋网站名称的前三个字母或者后三个字母。这样，淘宝（Taobao)登录密码可以是Flower100TAO或者是Gold520Bao。

选定基础密码之后，键入时将手指在键盘上向某一个方向偏移一些位置。比如基础密码是“cat“，我们输入时将手指向左上方偏移一个键位，就变成了”dq5“。

注意：好的密码长度应该超过8个字符，同时包含大写字母、小写字母、数字以及特殊字符。

下面提供一些选择基础密码的小技巧供大家参考：

某句短语或是某首歌曲副歌的首字母。比如你很喜欢The Jackson 5的那首成名曲 I Want You Back，就可以用“IWUB”。或者PPtt13Mod，DKstFre1st对应的“娉娉婷婷十三余，豆蔻梢头二月初”。

用键盘上比较靠近的按键组合，比如说“yui”或是“zxcv”。

用自己家人或者朋友名字的首字母以及特殊的纪念日，比如“TFB0602”。

其他密码设置怪招

胡乱敲击键盘：对于敏感账户，有专家建议随机乱敲键盘，并间或敲击Shift键，然后将结果复制到一个文本，存入一个有密码保护的U盘。

安全问题答非所问：网站的验证问题经常问道“你最喜欢什么食物？”“你毕业于什么学校？”，这些问题的答案局限性太大，很容易搜索出答案。比较安全的做法是密码提示和问题无关。比如安全问题是“你喜欢什么歌曲？”，你的回答可以是你宠物店名字等等。

密码生成器：如果还是不想自己设置，网络上有很多在线密码生成器，可以根据一些算法，根据基础密码和网站地址来生成不同的密码。不过如何保存这些密码，也是需要注意的问题。现在有一些个人资料管理工具如Keepass、LastPass、1Password等，可以集中将个人数据、加密密码进行保存，并且通过基于图像或个人手势的方式进行解锁。

现在很多网站也设置了双重认证等机制，增加额外密码安全保护，并且要求验证两个独立的方式，通常情况下是密码和短信验证码的组合。结合上面介绍的一些方法和技巧，希望大家的“密码生活”更加轻松安全。