你知道吗，我们每天输入的那些星号密码，其实在电脑眼里并不是秘密，它们只是被一种特殊的数学规则“搅拌”过，变成了一串乱七八糟的字符，这篇文章就是想用大白话，带你看看黑客是怎么试图“反搅拌”这些密码的,以及我们该如何保护自己。

我们得明白密码是怎么“藏”起来的，网站和程序不会傻到直接把你的密码“123456”存起来，如果它们这么做了，一旦数据库被偷，小偷就直接看到所有人的密码了，它们会用一种叫“哈希”的方法，你可以把它想象成一个超级智能的搅拌机，你把“123456”倒进去，它可能吐出来一串像“e10adc3949ba59abbe56e057f20f883e”这样的乱码，这个乱码就是存储在你账户背后的东西，这个搅拌过程是单向的，也就是说，你几乎不可能根据这串乱码再变回“123456”，当你登录时，系统会把你输入的密码也搅拌一次，然后对比两次的乱码是否一样,一样就让你进去。

黑客要破解密码，目标就是找到能产生同样乱码的那个原始配方，他们主要有以下几种“破案”手法：

第一种，最简单粗暴的，叫“字典攻击”，这就像一个小偷拿到了一串乱码，然后他拿出一本厚厚的“常用密码字典”，里面写着“123456”、“password”、“qwerty”、“admin”这些大家最常用的密码，他挨个把这些密码放进搅拌机里，看哪个能搅拌出和目标一样的乱码，如果你的密码恰好在这本字典里，那几乎瞬间就被破解了，很多人的密码都太简单了,所以这种方法成功率不低。

第二种，更聪明一点，叫“暴力破解”，如果字典里找不到，小偷就会开始“穷举”，他从“a”开始试，aa”、“ab”……一直试到“zzzzzz”，把所有字母、数字、符号的组合都试一遍，直到撞上正确的那个，这听起来很笨，但现在的电脑速度超快，它们一秒钟可以尝试几十亿甚至上百亿种组合，对付简单的、位数短的密码,暴力破解非常有效。

为了对抗暴力破解，聪明人发明了“加盐”，这不是做饭的盐，而是一串随机的字符，系统在搅拌你的密码之前，会先撒一把独特的“盐”进去，然后再一起搅拌，比如你的密码是“123456”，系统给你分配的“盐”是“a1B2”，那么它实际搅拌的是“123456a1B2”，得到的就是完全不同的乱码，这样一来，即使两个人用了同样的密码“123456”，因为“盐”不同，最后存储的乱码也完全不同，黑客就不能用一张预先计算好的“常用密码-乱码对照表”来批量破解了，他必须为每个加了“盐”的账户单独进行暴力破解,这难度和成本就大大增加了。

除了这些技术手段，黑客更爱用的是“社会工程学攻击”，这完全绕开了技术，直接攻击人性的弱点，他可能会伪装成你的朋友或客服，给你发个链接说你中奖了，点进去输入账号密码领奖，那个页面做得跟真的一模一样，你一输入，密码就直接发到黑客邮箱里了，或者他通过你在社交媒体上晒的宠物名字、生日、毕业学校等信息,猜出你可能用的密码。

面对这些威胁，我们普通人该怎么保护自己呢？方法其实很简单,但非常重要。

第一，也是最重要的，给你的每个重要账户（尤其是邮箱、银行、社交软件）都设置一个又长又复杂的密码，不要用“123456”，不要用“password”，不要用你的生日或名字，最好是一个你自己也记不住的、由大小写字母、数字和符号混合的长句子，WoJia-ZhuZai3Lou302！”就比“lousan302”安全无数倍。

第二，绝对不要所有网站都用同一个密码，想象一下，如果一个不起眼的小网站被黑客攻破，你的密码泄露了，而你恰好在支付宝也用这个密码，那损失就大了,必须区别对待。

第三，开启“双重认证”，这相当于给你的账户上了第二把锁，即使黑客侥幸拿到了你的密码，他在新设备上登录时，还需要输入一个发送到你手机上的临时验证码，没有你的手机，他就进不去,这是目前最有效的防护措施之一。

第四，对可疑的邮件、链接和附件保持警惕，天上不会掉馅饼，不要轻易点击不明链接,更不要在陌生页面输入你的个人信息和密码。

密码安全是一场我们每个人和潜在威胁之间的持久战，黑客的工具在不断升级，但只要我们养成良好的密码习惯，不偷懒，不轻信，就能极大地降低风险，最坚固的堡垒，往往是从内部被攻破的，你的安全意识，就是保护你数字世界的第一道,也是最重要的一道防线。