保护好你的密码 阿星 2001年 5期 现在上网的人是越来越多了,那么在网上畅游的同时,众多网民们的网络安全意识又如何呢?我的一个朋友曾经得意洋洋地跟我吹,他的E-mail密码绝对安全,数字加字母再加特殊符号,黑客10年也破译不出来。于是,我打算做一个实验,测试一下众多网民们上网的安全意识,同时也顺便“破译”一下那位朋友的密码,嘿嘿,看他还嚣张不嚣张。具体实验报告如下:   一、实验目的:为了测试网民们的网络安全意识。   二、实验用具:上网计算机一台,文学“素养”若干,耐心度少许。一颗为了大家的安全不惜艰苦测试的善良的心(这些后面自有妙用)。   三、实验要求:能够不使用任何超级黑客工具,在数日之内轻而易举地获取他人的E-mail密码。   四、实验原理:其实没有什么复杂的原理,仅仅是利用大家安全意识上的漏洞而已。   五、实验步骤:   1.首先任意选定一个免费的E-mail服务商,申请一个免费的E-mail。不过这个申请可是有讲究的,不能随便申请,否则将达不到实验要求。必须申请比较特殊的名字,要与Webmaster(网络管理员)有关的(但是想申请Webmasster是不可能的,那早被真正的管理员用了)。可以申请譬如Webmasters,postwebmaster,postwebmasters,post-webmaster,web_master,web-master,webmasterXX……总之申请与Webmaster类似或者有关的E-mail就行了,众多用户名中总有一个会申请成功的。   2.进入步骤一已申请好的E-mail。准备写一封信,这时候就需要用到文学“素养”了,必须把信写得让别人相信你是管理员。呵呵,没有点文学“素养”,这种信就写得不像,密码自然也到不了手啦。我细细揣摩了一番,信的大致内容如下(大家看看是不是很像真的):   尊敬的XX:    您好!   鉴于目前一段时间本邮件系统正在升级可能会给您的使用带来不方便的地方,还请多加谅解。另外,为了升级需要,还请将您的用户名和密码回复到本信箱来,否则可能导致过一段时间信箱的使用会出现一些问题。   如果您有任何使用方面的问题无法通过“帮助”文档来解决,或者有任何新的建议,都欢迎给我们来信。谢谢您的合作与支持!    XX邮件管理员    2001年1月   3.使用邮件群发软件,把写好的信用步骤一申请的类似Webmaster的E-mail地址发出去。我前前后后共发了数百封。这里要注意,必须发给邮件后缀名相同的,比如我申请的是Webmasters@abc.com,那么,就都要发给XXX@abc.com。否则就不像了。   4.使用耐心度,等待……   5.一个星期或者更长一些时间后,打开步骤一申请的E-mail,发现回复的至少有一半以上,随意试了几个,果然都能用。于是,实验要求已经达到。   六、实验结论:网民们的安全防范意识太差,轻易就把密码拱手献上。那位爱吹牛的朋友也不例外,照样乖乖地奉上密码,而我却半点黑客工具都没有用。   七、实验注意事项及其它:   1.E-mail的提供服务商是绝对不会向用户询问密码的。大家收到这类的邮件千万不要上当。   2.通过发来的一些密码,我发现很多人的密码委实太简单,不是电话号码就是生日,非常容易被人破译。建议使用那位爱吹牛朋友的数字加字母再加特殊符号的密码(他这做法倒没错,不完全是吹,只是他的安全防范意识太差,被我钻了空子)。   3.E-mail密码最好不要与上网密码或者其他任何需要密码的软件(如OICQ)相同,免得一处攻破,全线崩溃。不相同的话,最多是一个E-mail没了,还不至于有太大的损失。   4.建议网民朋友要定时的修改密码,一两个月修改一次,这样更加安全一些。   5.最后郑重申明,本人做此次实验完全没有任何不法企图,只是为了测试一下网民们的上网安全意识,希望大家看了这篇文章能够警醒一些,不再上当。过后那些回复信件被我全部删除,并且我还发信提醒那些上当的网民朋友们。本文叙述的方法,还请读者不要效仿而从事不法活动,否则被公安局的计算机安全监察系统逮住,一切后果自行负责!!