现代快报讯（记者 季雨）网络时代处处需要账号密码，你的密码是姓名，还是姓名 + 生日呢？你的各个平台密码是通用的吗？小心你的账号密码，可能已经落入 " 撞库 " 大盗的碗里。近日，江苏盐城警方公布了 " 净网 2021" 专项行动—— " 撞库 " 案例。撞库究竟是什么？网络时代又该如何设置自己的密码？现代快报记者带着问题请教了网络安全专家。

△犯罪团伙作案所用的机器

" 撞库 " 黑客团伙盗取账号 1 万多条，涉案资金近千万元

2021 年 4 月，江苏盐城警方在 " 净网 2021" 专项行动中发现，盐城响水县境内某些宽带地址，存在短时间反复尝试登入某大型网购平台的异常行为。接到警方通报后，涉事企业立即梳理了可能存在的安全防护风险隐患，进一步完善优化登录机制，严控高频登录和模仿真实用户登录等异常情况，最大限度堵塞了安全漏洞。

那这些批量异常登录到底是怎么回事呢？警方进一步侦查发现，原来这就是传说中的 " 撞库 "。一伙人租用了响水一处电信机房的服务器，通过非法技术手段，绕开该网购平台的风控机制非法获取用户账号密码。办案民警根据网络信息研判和数据，排查发现这个网络犯罪团伙背后有着一个复杂的产业链，涉案成员分布在全国多个省市。

" 他们中有人负责编写撞库软件，有人专门提供盗取的账号密码，还有人用这些非法获取的账号密码，去尝试破解该网民的其他账号，形成了上下游黑灰产业链条。" 盐城市公安局网安支队负责人介绍。

今年 10 月份，在掌握犯罪嫌疑人的犯罪事实和主要架构后，响水警方组织警力赴江西、河北、浙江、贵州等省集中展开抓捕，共抓获 10 名犯罪嫌疑人。

经民警查实，该 " 撞库 " 黑客团伙累计盗取账号一万两千多条，涉案资金近千万元。截止目前，已有 5 人被检察机关提起公诉。

撞库的目的是什么？盗用资金、诈骗、刷单都能实现

什么叫 " 撞库 "？江苏省网络信息安全协会专家、南京理工大学教授李千目解释道，撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

△撞库示意图

为了方便记忆，很多人在登录不同网站的时候都喜欢用同一个用户名和密码。而 " 撞库 " 便是利用民众的这一习惯，从非法获取的若干套账号入手，利用自动化工具（如脚本）去其它网站接口批量提交账号密码组合，如能登录，则 " 撞库 " 成功。他们会将 " 撞库 " 成功的账号密码记录下来，为接下来做其他的坏事做好准备。

" 一旦账号密码如果在人家手里，那能干的就多了。比如将银行账号中的资金转走，将游戏账号中的虚拟物品出售，盗用他人身份发表一些言论，用购物账号中的优惠券和预存款买东西等。失窃的账号信息还会反反复复地被买卖，从而带来其它损失。" 李千目表示。

记者了解到，2021 年 5 月，泰州姜堰警方通过缜密侦查，组织警力奔赴全国多地开展收网行动，成功捣毁了一个涉嫌侵犯公民个人信息的犯罪团伙，一举抓获犯罪嫌疑人 13 名。据悉，短短一年多，该团伙非法售卖的公民信息竟达到 2 亿余条。而团伙主要成员供述，其购买大量电子邮箱的账户、密码后，除了转手倒卖牟利外，最赚钱的还是通过 " 撞库 " 手段攻击各类网络游戏数据库，盗取游戏账号后，再高价出售。

你的密码还是这样设置的吗？公安部网安局发出提醒

目前，最常见的撞库方法有这么几种。首当其冲的就是用 N 个配套的账号、密码进行登录。用从其他网站得来的一一对应的账号、密码，在其他网站直接使用。其次就是，用 N 个密码撞 N 个账号。用多个密码轮番尝试登录多个账号。在短时间内，一个账号被用不同的密码尝试登录多次。最后就是，用少数几个密码撞 N 个账号。筛选少数几个典型的密码轮番对 N 个账号进行试登陆。短时间内，使用同一密码登录不同账户的频率较高。

12 月 12 日，现代快报记者对人们常用的密码类型进行了采访，经过对 30 名市民的统计，可以大致分为以下几大类：使用简易数字组合（如 12345）；键盘垂直或水平排列组合（如 qwerty、1qaz2wsx）；生日相关单词；姓名相关和与偶像相关的单词。

近日，公安部网安局发出 " 净网 2021" 提醒，设置密码时，避免过于简单、易猜。养成定期更改密码的习惯，同时根据账号重要性、是否涉及财产等分级管理，避免一码多用。在公共设备上登录个人账号时，不要勾选 " 记住密码 "" 默认登录 " 等选项，尽可能选择匿名登录。

（图片来源：公安部网安局）