在未了解网络安全之前，卡卡和周围的许多人一样困惑，每个人设置的密码可能性有如此之多，那黑客是如何得知的？

相信经过今天的科普，你会对黑客的技术有所了解。

不过我可要先声明一下，本人并不是黑客，而且任何的防护都是有漏洞的，无数的大佬已经用行动证明了世界上没有不透风的墙，安全永远只是相对的。

下面是一些常用的破解密码的方法。（不要拿来做坏事哦！）

破解方法1：拼手气

没错，第一种方法是“拼手气”，就像是抢红包时候，看看你是不是运气王，专业一点的说法，应该叫“暴力破解”，这也是黑客界非常常用，有效而且技术含量相对比较低的一种方法。

说白了，就是比谁输密码的速度快，甚至可以手动输入，不借助任何工具，因此才说该方法技术含量较低。

就像这样

因为从理论上来讲，只要把一个密码所有的可能性（即所有的字母、数字与符号的排列组合）全都试一遍，绝对可以找到正确的密码。看到这里，你可能要抗  议了，这一个个密码要猜到猴年马月阿！

但是对于身为程序猿的黑客来说，这可是小菜一碟了，他只需写一个程序便可以来代替自己输入密码。现代计算机的计算速度基本都可以达到每秒几十亿次，不过这个速度指的是计算速度，并非输入密码的速度。

比如，用一个暴力破解压缩包密码的小程序作为例子：

以下是输出的结果：

这边设置的字典内容是数字从0到99999，最后测出来的密码是144，从0测到144，一共花了大概8秒的时间（这与计算机的配置有关，主要是CPU）。

效率看上去不是特别的高，不过好歹比人工输入快了不知多少倍。但是，这只是输入纯数字的可能性，如果以这个速度来遍历所有的数字加字母的组合，所需要的时间至少是以亿年为单位。所以光靠瞎猜计算机也救不了你。

不过，当计算机加上统计学，会发生什么事呢？

这张图是2018年发布的，世界最差的100个密码中的前25个，其中123456已经连续五年蝉联第一了，看看这里面有没有你的密码呢？

黑客在暴破密码之前，都会对目标做一些侦察来确定密码可能出现的范围，把可能的值存到一个字处理文件里，一般都是txt文件，这个txt文件就是字典，然后再利用程序来一个一个地尝试字典里的密码。

可能会有同学要提问了，这也不能保证一定就能破解出密码啊，如果我的密码不在他的字典里怎么办？

你的密码是没在他的字典里，但是对于黑客来说，概率性攻击远比准确性攻击更有价值。

比如有10万个目标，即使成功率只有10%，那也能拿下1万个目标，这1万个目标中还是很有可能包含一些有钱的大佬，所以收益还是很可观的。

如果他费劲心思专门去攻击一个账号，而这个账号的主人是个穷人，那么他即使成功了也没啥收获。

破解方法2：撞库

撞库，是指拿着互联网上已经泄露的账号和密码，批量尝试登录另一个网站，因为很多用户在不同的网站上使用相同的账号和密码，所以成功率非常高。

利用这个原理，黑客会先攻击一些小的网站，拿到一大批的账号和密码，然后用来在像支付宝这样的平台上登陆，往往会有很多可以登上去。这利用的就是人们为图方便，把各种平台的账号密码都设成一样的心理。

在这里提醒大家，和钱有关的密码一定要单独设置，千万不要和别的密码重复，否则很容易被撞库攻击。

云上常见的撞库案例

破解方法3：利用漏洞

你是不是觉得，前两个方法都不是很有技术含量，纯粹是“靠运气”，那么这方法3就是实打实的靠技术了。

举个例子，我们现在使用的Wifi包含了很多种加密方式，如下图：

这里有五种加密方式，我们现在常用的是WPA或WPA2，但在以前大多数Wifi都用的是WEP方式。

WEP这种加密方式非常不安全，很容易就被破解，而且和你设置的密码复杂度没有半毛钱关系，就算你设置了一串连自己都不知道是多少的密码，只要捕获到足够的数据包都能破解，用时非常短。

破解方法4：键盘记录

不少黑客使用的是 Keylogger 软件，该软件挺简单的，就是可将键盘的按键顺序和笔划记录到你的计算机的日志文件中。

此前有黑客通过Office文档嵌入恶意宏代码进行传播，当你打开该文档时，会自动启动PowerShell进程，从远程服务器上下载恶意程序，然后执行 Keylogger 程序，记录后盗取受害者浏览器网站上的帐号和密码。

这也是现在许多网站会提供虚拟键盘/软键盘，并打乱键盘的顺序，让你用鼠标点击输入密码的主要原因之一。

破解方法5：网络钓鱼

网络钓鱼也是一种黑客最常用和最致命的攻击媒介之一，黑客通过该技术复制一些访问最多或者是交易平台的网站，界面看上去与平常使用的网站是一模一样的，而且网站链接也很具有欺骗性，以此来捕获受害者。

其中最常见的形式是普通的群发邮件，黑客伪装成其他人发送一封电子邮件，并试图诱骗收件人进行登录网站或下载恶意软件等动作。攻击通常依赖于电子邮件欺骗，其中伪造了电子邮件标题（“发件人”字段），以使邮件看起来像是由受信任的发件人发送的。

此类网络钓鱼攻击一般都是通过伪装称修改密码告知、登录提醒、中奖、退换货、会议注册通知等，但也有部分攻击是专门针对组织和个人而设计的。其形式也不限于电子邮件。

总结

看完以后，是不是对黑客攻击有所了解了呢？

总结一下就是，不要设置过于简单的密码，不要多账户使用同一密码，不要点击来源不明的邮件，不要下载未知文件，不要点击奇奇怪怪的小网站，记得定期修改密码。

如果可以做到以上几点，相信你的密码安全可以提高好几个级别~