密码泄露一般4个环节，人的环节，本地设备，传输过程，服务器。人的环节

1.猜——爆破 字典攻击

猜，好比过去QQ空间权限查看，但都有一个问题和答案，一般你想看，都会尝试根据这个问题回答自己认为的答案吧。别说没有，哈哈我自己都试过。还有之前有过一个教育网站的管理员帐号泄露。账户名字就 name 密码是12345，像这种很容易猜的密码，就靠这个猜就把整个教育网站的管理员拿走了，进一步泄露了整个网站的用户信息。试想你的各种密码跟泄露的密码一样的话会怎么样。

2.骗——钓鱼网页 邮件 短信

本地设备

1.恶意木马

我们的电脑，手机，平板被恶意植入一些木马，比如我们玩游戏的时候会经常使用一些外挂，但这些外挂本身就自带恶意木马的，被你电脑的一些信息和游戏账户给盗走了。

2.恶意植入

比如给你发一份邮件，邮件里面有一个链接，只要你一点，就会在你后台自动下载恶意代码。

键盘监听

这个网吧比较常用，一般你在网吧看到机子上有一个小方块或者U盘的东西的话，千万不要用，这一般都是监听设备输入的设备。

建议，尽量不在公共或有潜在安全风险的设备上进行密码操作，没事别越狱，不ROOT。手机安装软件的时候弹出的管理权限，你可以按你需求设置，比如看视频的软件就没必要让他读取手机联系人等

传输过程

1.明文传输

设备把密码发到服务器的过程中，如果这是明问传输非加密传输，只要有人在中间拦截抓取，就可以直接知道你的用户和密码了。

2.wifi

现在的免费wifi是很普及的，比如 星巴克，麦当劳比较大的连锁店铺都有免费的wifi，一般你认为这种wifi都是安全的，毫不犹豫就连接上了。所以你也不会认为这个可能是伪装的wifi，只要你连接上了这个wifi那能做的事情就多了。

2-1.内网监听攻击：PR攻击+网卡混杂模式监听，可以监听你所有传输的内容

2-2.DNS被恶意篡改，劫持至钓鱼网站，比如你要到登录某个购物平台，你输入的网址没错，但会直接跳转到伪装度极高的钓鱼网站

2-3.蹭网卡强行共享他人wifi，可截取无线数据

2-4.HTTPS和HTTP

在传输的过程中，一般都会提到传输协议书，HTTPS的成本会比较高，好一点的证书一点都要好几万块钱，但它的整个传输的效率会比较低，因为证书在传到客户端的过程中要经过几个验证，你的证书比较差的话，验证可能会有4-5，5-7层这样，一个层的验证就代表一个服务商，你想想那么多个验证需要多少时间。证书好的话，可能就只有1-2层，速度是快了，但成本也明显高了，一年要十几万来计算的。

如果账号密码用HTTP传输都是可以被捕获的，捕获的账号密码虽然是用MD5加密的，但现在这种方式基本跟没加密一样，网上有各种在线破解这种密文的。所以一个网站安全将系数大不大，看看是用HTTPS开头还是HTTP开头就知道了。

服务器

密码再复杂，本地在安全，传输再可靠，服务商坑了其他都不白搭，只要被扒，什么信息都泄露了。比如小米论坛， 12306，网易163邮箱，大麦网。机锋论坛，CSDN，捂脸！还有我们的草榴网站都被扒过。

服务商密码泄露一般通过

1.远程下载数据库文件

2.利用web应用漏洞拖库

3.利用web服务器漏洞拖库

4.利用网站挂马拖库

5.传播恶意文件拖库

6.内部人员泄露数据库

7.社工网站管理员

密码泄露的四个环节，人——本地——传输——服务器，只要一方面坑了那都会泄露，而我们网友能做的防范只有人和本地这个，提高自我的安全意识，不用免费wifi，避过钓鱼网站，密码不要一样，如果嫌麻烦，也可以分层级，比如小说视频网站这种安全级别低的密码绝对不要跟网购，银行密码相同，不然等同拉低了其他安全度比较高的网站吗，木桶效应都哪里都适应。

WIFI密码HTTPSHTTP信息安全