說到社工庫，現(xiàn)在很流行，數(shù)據(jù)也越來越龐大、詳細(xì)，其威脅程度日愈嚴(yán)重。其中威脅最高的就屬密碼庫了，也是數(shù)量最大，影響范圍最廣的。

密碼庫主要來源就不說了，各種拖庫……

其中密碼形式主要分這幾種：

第一種是未加密的明文密碼，威脅程度最高。(不得不說這種儲(chǔ)存明文密碼的站點(diǎn)有多么的二逼!更可悲的是這種站點(diǎn)有很多!!)

另一種是加密過的密碼密文，威脅程度視加密等級(jí)而定。

第三種是破譯成本很低的密碼密文，例如僅一次MD5，等低強(qiáng)度加密算法，威脅程度最高。

其中無法破譯的密文，情況還好點(diǎn)，暫時(shí)沒什么大的影響。

而明文和破譯成本很低的就不一樣了，用途就不說了吧，大家都懂。

如何防御此類攻擊，針對(duì)已泄露的明文密碼來講。目前防御手段大致有兩種：

1、使用一套自己的“抽象密碼記憶方案”，相當(dāng)于一個(gè)自己的“密碼算法”，一段只有自己知道是啥意思的字符串，例如：nuyo0w，字符串 WooYun 的變體，從一定程度上來講，使攻擊者不知所措，但對(duì)于高級(jí)黑客來講，還是有可能被猜出來密碼規(guī)律，最重要的一點(diǎn)，它還是明文!(更好一點(diǎn)的，將重要密碼和一般密碼算法分開記憶)

缺點(diǎn)：增加記憶成本，如果多個(gè)密碼的話，最后會(huì)很混亂，而且無法防止高級(jí)黑客猜測(cè)。

2、非記憶密碼方案，即使用密碼生成器、密匙管理器之類的密碼處理工具，需要提供一個(gè)原始密碼及鹽，生成一個(gè)毫無規(guī)律的高強(qiáng)度“明文”密碼，即使某網(wǎng)站泄露了這個(gè)“明文”密碼，除了這個(gè)網(wǎng)站之外，黑客無法進(jìn)行其他任何用途，更猜不出密碼規(guī)律，使社工庫完全失去存在的意義。

優(yōu)點(diǎn)：程序算法被破解也沒用，因?yàn)樾枰峁┰济艹谆蛘啕}(保護(hù)好你的原始密匙不在任何地方出現(xiàn))，否則無法生成密文，強(qiáng)度極高!!!

缺點(diǎn)：易用性比較差，因?yàn)殡S時(shí)都需要帶一個(gè)加密程序(做成網(wǎng)頁在線版可能好點(diǎn))，沒帶的話，沒法登陸賬戶。