來自加利福利亞的 Gurkirat Singh最近發(fā)現(xiàn)一個存在于facebook密碼重置機制上的漏洞，能夠讓黑客完全獲得受害人Facebook上的賬戶權(quán)限。

最近國外的一位白帽子，向眾人證明了破解一個facebook帳號的可操作性，而且只需借助一些基礎(chǔ)的計算機技術(shù)就可能實現(xiàn)。不管的帳號設(shè)置多么復(fù)雜的強密碼，或者采取了怎樣額外的安全措施，都有可能被破解。這并不是危言聳聽，來自加利福利亞的 Gurkirat Singh最近發(fā)現(xiàn)一個存在于facebook密碼重置機制上的漏洞，能夠讓黑客完全獲得受害人Facebook上的賬戶權(quán)限。包括能看到你的聊天記錄，銀行卡支付記錄等等。

如何破解多個Facebook帳號

這種網(wǎng)絡(luò)攻擊的原理很簡單，但復(fù)現(xiàn)起來還是有一定難度。當(dāng)你試圖重置你的帳號密碼時，你的Facebook會生成一個6位的隨機驗證碼，以幫助你完成而密碼重置操作，而這樣的隨機驗證碼組合會有10^6，也就是100萬種組合。

“那么就存在這樣一種可能性，如果有100萬用戶在短時間內(nèi)，均提出了重置密碼的請求，并且暫未使用6位驗證碼重置自己的密碼，那么接下來第100萬零1個用戶在發(fā)起重置密碼請求的時候，很可能會收到跟上一批次某個用戶相同的驗證碼”

借由這個猜測，Gurkirat首先通過簡單的技術(shù)手段，收集到200萬個有效的Facebook用戶ID，使用代理服務(wù)器，實現(xiàn)在短時間內(nèi)模擬200萬個用戶同時發(fā)起密碼重置請求，目的是為了盡量窮盡6位驗證碼所有的組合情況。之后，Gurkirat使用隨機的6位驗證碼，例如666666，通過暴力破解的方式，對剛剛提出密碼重置需求的200個用戶，進行驗證，那么極有可能Gurkirat的隨機驗證碼“666666”，剛好對應(yīng)到這200萬個用戶中的某一個或者某幾個，進而借由此驗證碼重置密碼，進而取得你的Facebook帳號權(quán)限。

其實早在2016年5月，Gurkirat就曾向Facebook團隊提交過此漏洞，不過當(dāng)時Facebook方面認為漏洞復(fù)現(xiàn)成本過高，有些難以實現(xiàn)，直至最近，Gurkirat利用上述流程復(fù)現(xiàn)了漏洞。Facebook團隊確認了該漏洞并發(fā)布了補丁，而Gurkirat本人也被授予了500$的漏洞發(fā)現(xiàn)獎勵。

如何保護的facebook帳號安全

為了避免已經(jīng)被發(fā)現(xiàn)，和尚未被發(fā)現(xiàn)漏洞對用戶的帳號再次造成影響，推薦用戶使用下列方法提高賬戶安全：

添加二次驗證：如果有人使用新的設(shè)備或者在新的頁面登錄你的Facebook帳號時，你帳號所綁定的手機會收到6位驗證碼短信，為你的登錄添加了二次保障。

啟用登錄預(yù)警：當(dāng)有人試圖遠程訪問你的帳號時，F(xiàn)acebook會以短信或者電子郵件的方式向你發(fā)送提醒，如果這可能是一條未經(jīng)授權(quán)的訪問，你可以通過郵件中的鏈接，終止此次訪問。

使用密碼管理軟件：“弱口令”一直是密碼泄漏原因中最為常見的一種。?針對不同帳號，使用復(fù)雜強密碼，有利于保障你的帳號安全。而使用密碼管理軟件，既方便你記憶和使用強密碼，也有助于保護帳號安全。目前比較知名的國外密碼管理軟件有，one Password、LastPass、KeyPass等等，而國內(nèi)也有洋蔥這樣免費的密碼管理軟件。