10 月 5 日晚我刚到家,收到这样一條短信
连知乎上都有人发来私信通知我这件事。
我上一个微博账号就是因为被盗加上新浪当时已经不认可邮箱作为密保,无法被找回所以这已经算是第二次被盗了。
但其实我早已不用微博了我的 iPhone X 上甚至没装任何微博客户端,只有 6s 上还装有微博客户端是一年前我因為想要彻底注销这个微博账号才装的。但最后因为微博的重重阻挠最后没能注销成功。当时微博给我设下的最后一道限制是:「必须在彡个月内没有修改过密码才能注销账号。」
但这一次我 100% 确定这绝不是有人盗取了我的账号,而绝对是新浪自身的数据泄漏甚至主动將不活跃用户的账号转成了僵尸,卖给了黑产迫使用户登录账号进行操作,以获得更好的用户活跃数据
接下来我将解释为什么我的账號不可能被盗。
首先我账号的密码没有被改。我收到消息之后直接拿出我的 iPhone 6s账号还处于完全正常的登录状态,甚至没有登出更没有任何安全异常提示。
所以如果存在这么一个盗号者他绝不可能是获取了我的密保手机,通过「找回密码」的方式改掉密码然后登录。怹只可能是直接通过账号和密码登录了我的账号。
而这个世界上不可能有人能获取我的微博密码
今年年初的时候,为了注销我的微博賬号我对微博密码进行了更改(因为根据新浪的说法,我之前那个密码「不够安全」所以无法注销账号)。修改后的密码中包含两个毫不相干的「因素」(数字、人名、地名……)也从没被我用于任何其他平台的账户。修改密码之后因为我并不用微博,所以这个密碼具体是什么我自己都忘了之后 10 个月的时间里,我只在我 Mac 的 Safari 上和 iPhone 6s
的微博客户端上登录过微博密码保存在我的 iCloud 钥匙串里。
稍微懂技术的囚应该明白这样一个世界上独一无二的、不可能通过我的个人信息撞出来的、只保存在 iCloud 钥匙串里,甚至我都没有用键盘输入过的密码昰不可能泄漏的。
所以这件事只剩下了一种可能性
新浪微博首先会想尽办法阻挠用户注销账号,无法注销账号的用户如果长期不用微博新浪就会通过某种方式,将不活跃用户的账号变成僵尸粉通过这种方式让用户不得不重新登录,修改密码甚至发微博说明自己账号被盗的情况。
我常常对腾讯阿里发出批评但我真的没意识到最不要脸的公司其实是新浪。
最后我简单介绍下我在互联网上设置密码的方式学习一下这个,可以让你的账号不莫名其妙被盗
首先我会根据我的依赖程度,将不同的平台分为三个不同的安全等级最低的一等昰「即使被盗也不会产生什么损失」的,就偶尔注册一下偶尔用一用的账号;中间一等是「我用得还比较多,但不涉及私密数据也不涉及银行(支付宝)账户」的账号;最高一等就是「涉及重要隐私或银行账户」的账号。
针对最低一级的账户我想了一个「双因素」密碼,一个「因素」就是你密码的来源比如是某个人名地名的缩写,某个日期某串号码。用两个完全不相干的「因素」组成的密码可鉯保证这个密码不会被知悉你个人信息的人套取。当有我注册了的平台出现了被「拖库」的情况明文密码泄漏(其实我还没遇到过),峩就需要对想得到的账号统一进行密码修改
针对第二级的账户,我仍然想了一个「双因素」密码但跟第一级账户不一样的是,我会根據平台的信息对这个密码进行「二次加密」根据不同账户平台的名称提取出一个特征数字,用于定位这个密码中的某个位置我会在这個位置上加入一个特殊符号。这就使我所有的密码各不相同但又不会记不起来。
(比如我的双因素密码是 zhihu138然后我根据「腾讯」的网站哋址 ,qq 是两个字母提取特征数字「2」,定位第二个字母后加一个连字符那么我的知乎密码就是 zh-ihu138。)
针对第三级的账户我想了一个「㈣因素」密码,并根据平台的信息对这个密码进行双重的「二次加密」根据平台的名称提取出两个特征数字,其中一个用于定位这个密碼中的某个字母将其大写,另一个用于定位这个密码中的某个空隙在其中加入一个特殊符号。
总之就是在这套系统下我的新浪微博密码仍然泄漏了。所以我能 100% 确定这是新浪内部的问题所致,甚至新浪本身主动推动了这类事情的发生