微博单日拦截盗号3.5亿人次：支招如何巧设密码

可能是被上周Twitter盗号风波所警醒，新浪微博发布《关于互联网账号安全现状和微博账号安全策略的说明》。

微博指出，账号被盗的发生基本包括以下四种情况，即一套账密走天下、客户端钓鱼、暴力破译简单常见密码及网络劫持。

微博称，上半年，微博单日拦截盗号已超3.5亿人次，10倍于去年同期。

关于如何设定安全密码，微博给出的建议是，首先选一句喜欢诗词歌赋或座右铭，例如“红装素裹，分外妖娆”，提取拼音首字母“hzsg,fwyr”，然后对固定位置或固定字母做大小写替换，再对形似数字的字母做替换，最后增加所属网站信息，就生成了你的专属微博账号密码，既保证了安全，也不会想不起来：

w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

以下为全文：

关于互联网账号安全现状和微博账号安全策略的说明

被网友广泛吐槽的账号被盗/异常点赞/异常关注等问题，引发了很多猜测和不实传闻，站方有必要就这些问题做出一些说明和澄清，回应网友的关切。

一般来说账号被盗是怎么发生的呢？

1. 一套账密走天下：使用相同账号密码注册多个网站，是用户方便记忆的上上选，却也是黑产的“好帮手”。若一家网站密码泄漏，黑产会用泄漏数据到各个网站尝试登录，扩大盗号范围。上半年，某外站邮箱注册的微博账号大规模被盗，系此类问题。

2. 客户端钓鱼：一些APP商店上的非微博官方客户端，引导用户输入微博账号密码登录。登录的同时便将账号信息泄漏给了第三方。

3. 暴力破译简单常见密码：以主流的手机注册为例，如185开头的手机号最多1个亿，随意搭配一个常见密码“Love1s1s!”（爱你一生一世的音译），进行暴力登录尝试。1亿个账号中，碰巧使用该密码的账号就中招了。

4. 网络劫持：在微博客户端（或电脑浏览器）与微博服务器之间，还隔着万水千山。互联网络、运营商、局域网，这些环节涉及众多微博以外的企业。而黑产通过对任一环节进行监听并截获网络数据，就可以轻松在用户刷微博的同时，替用户点个赞。是的，整个过程不需要知道账号与密码！

上述情况之外，XSS漏洞、病毒木马、手机二次号…… 盗号方式不胜枚举，上半年，微博单日拦截盗号已超3.5亿人次，10倍于去年同期。

如此趋之若鹜，盗号的目的又是什么呢？

偷来的账号最直接的变现方式就是贩卖出去，卖给从事各种违法犯罪活动的组织、个人。然后再用买来的账号，更换低俗头像，发布涉黄涉赌枪支等博文和评论，传播违法有害信息，给违法网站引流进行营利。或进行恶意营销，给营销账号涨粉、转发、点赞，采用不正当手段提高博文的曝光量，牟取非法利益。这些行为已严重侵害平台合法权益，破坏微博正常的内容生态秩序。

这种蝇营狗苟却又防不胜防，被盗用户抱怨之余对平台有一些怨言和不理解也是情有可原的。但是因此指称站方参与盗号交易，则是完全不符合逻辑和事实的。微博作为受害者，却被打成同谋，情感上也很委屈。

为保护用户隐私与账号安全，微博先后推出多种账号安全措施—;—;陌生登录提醒、双重登录验证等功能，并自动监测账号的异常活动并设置被盗只读保护状态。从今年6月以来，站方加大了对长期不活跃账号在陌生地点突然登录的拦截力度。7月下旬，微博还将在登录环节逐步增加二次验证功能，只有当完成短信验证、客户端扫码、私信确认3种方式中任意1种验证之后，方可登录成功。

最后，还要提到近期网友特别关注的去世账号问题。受制于用户真实社会身份与其互联网身份的脱节，微博缺乏有效获取过世信息的渠道，也就无从为去世账号设置必要的状态和保护。目前看来，解决途径主要有两种：使用者将账号委托他人，在去世后设置为去世状态；去世账号使用者的亲友，在得到账号信息后，联系站方设置为去世状态。微博正在寻找一个稳妥和便捷兼顾的方式解决这一问题。

盗号问题一直是互联网一大公害，是各主流内容平台、社交平台、游戏平台的头等安全问题。作为一名普通的网友，要如何积极保护自己的账号安全？这里，教大家一个密码设置的小窍门。首先选一句喜欢诗词歌赋或座右铭，例如“红装素裹，分外妖娆”，提取拼音首字母“hzsg,fwyr”，然后对固定位置或固定字母做大小写替换，再对形似数字的字母做替换，最后增加所属网站信息，就生成了你的专属微博账号密码，既保证了安全，也不会想不起来：

w_H259,b_Fwyr / weibo_Hzs9,fwyr / w_Hzsg1fwyR_b等。

盗号现象得到有效治理，不仅需要平台与用户一起想办法，更需要全社会多方力量共同努力。在这一过程中，微博将始一如既往地为保护用户隐私和安全做出努力。