众所周知，微信在我国是一款用户过亿的国民级通讯工具。不仅是聊天社交，购物、缴费、看病、出行等方方面面的生活出行都离不开微信。

然而，就在上个月，一个知名度很高的外网加密通讯软件：telegram某群聊里爆出，wxid对应手机号的数据疑似被爆破方式泄露，给出的猜测方式是爆破wxid方式得出加密的手机号，之后获取明文。

该频道提供了很详细的样本，加上那个时间段刚好微信出现了BUG，很多人登录不上，的话题还冲上过微博热搜。

这次的结果是大批用户微信绑定得手机号被拉出来，下次会不会是微信钱包就不得而知了。作为网络安全行业的从业者，这里给大家分享一些黑客攻击账号信息常用手段，希望能帮助大家更好的保护自己的账号安全。

1、暴力破解

暴力破解其实就是将字母和数字的组合，不断的进行尝试。这种尝试不是我们手动输入，而是用暴力破解软件，结合常见的密码字典库，调整密码组合，一个个登录。

在一秒钟提交上万种密码组合的速度下，那些简单的密码（如：123456、password），瞬间就可以被破解。

由于这种方式十分简单粗暴，所以很多平台都设置了防暴力破解机制，限制用户试错登录次数、间隔登录时间，强制要求用户设置位数较长、更复杂的密码。

比如一些加密聊天软件设置的密码必须是含数字字母8位数以上，每天不论是ID号、手机号或邮箱登录都有次数限制。

2、撞库

我们平时上网要用到的平台、注册的账号非常多，为了方便，很多人会把多个平台的账号设置为同样或相似的用户名和密码。

那么，一旦其中某个平台的密码库泄露，黑客就可以将该平台的密码库通过脚本软件在其他平台上批量尝试登录，经过不断地尝试，最终匹配出其他平台上同样的用户名和密码。

黑客往往是选择那些功能相近、人群重叠的平台进行撞库匹配，以提高匹配的成功率，这也使得密码撞库成为目前影响范围最广的破解密码方式。

比如此前QQ大批集中于大学生群体的账号被盗之前，先有学习通泄露大量用户数据事件。而QQ跟学习通这两个平台的人群重叠度还是挺高的。

所以大家尽量不要在不同的平台使用相同的密码，一旦其中一个平台发生数据泄露，就给了不法分子可乘之机。

网络钓鱼主要是不法分子通过广告、邮件、短信，让用户点击进入他们伪造的网站，诱惑用户把财务账号和相关密码给到他们。

钓鱼网站一般和银行、证券、各种购物平台的官方网站很像，不细看的话很难发现两者的区别。所以，为安全起见，不要点开陌生人发的网页链接，也不要在非官方的网站登录自己的账号。

很多平台在硬件、软件、协议的具体实现或系统安全策略上存在着缺陷，这些缺陷很可能被攻击者利用，在未授权的情况下访问或破坏系统，获取用户的信息资料。四川宜宾警方就曾破获过一起某支付平台因人脸识别漏洞，导致账号、资金被盗的案件。

当平台越来越大，网络攻击往往是不可避免的，我们可以做的就是尽量消除系统中的漏洞，减少内部员工误操作，将系统遭受攻击造成破坏的可能性减小到最低。

所有的密码都是以数据库的形式存在于验证服务器的存储介质上中，我们把它称为密码库。而密码库能否被破解，取决于它的加密方式。

从加密的安全性高低来说，非对称加密要远高于对称加密。对称加密的明文密码通过指定的算法加密成密文密码，密文密码也可以通过同种算法还原成明文密码。

非对称加密的私钥和公钥是不同的，即加密解密用的是不一样的算法，所以无法通过密文密码来逆推明文密码。

以国内加密通讯工具行业比较有名的蝙蝠加密聊天为例，我一个逆向过蝙蝠包的逆向工程师说，他们使用的就是非对称加密算法中安全级别很高的SHA256、SHA1算法。同时，蝙蝠的SRP（安全远程密码）认证协议，也可以有效的消除密码欺骗行为，抵抗入侵者的字典攻击。

部分逆向代码

同时，作为主打安全加密的聊天软件，蝙蝠不仅对用户密码做了加强级保护，在聊天消息上也使用了目前国际范围内认可的、保密性最强的数据传输技术之一，即端对端加密，来保障聊天信息的隐私安全。

蝙蝠加密过程

简单来说，就是用户注册即生成私钥，而私钥会通过ECC加密算法对聊天消息和传输文件进行加解密。当你给好友发送消息或传送文件时，这些信息会加密后再进行传输，到达好友的手机电脑等终端设备后，再通过你们之前匹配上的密钥进行解密。

用户注册生成私钥

用户的私钥是保存在本地，随时可以刷新更换，且没有对数据进行云端存储，所以真实的聊天内容仅保存在和好友的终端设备中。因此也就不存在开发方、运营方、承包商等第三方窃听、监控用户隐私的情况，有需要的朋友可以试试。

最后，希望微信能够给出更详细的解释才能让大家放心，毕竟我们的生活都被微信绑定了，数据安全问题必须要得到重视。返回搜狐，查看更多

责任编辑：