5月14日，电脑病毒“证券大盗”的作者因传播病毒截获股民股票账户、密码，盗买、盗卖股票价值1141.9万元，非法获利38.6万元，一审被判无期……

　　而几乎与此同时，网上密码被窃的事件仍屡见不鲜。5月10日，浙江金华一李姓市民用于网上购物支付的银行卡内余额不翼而飞；4月，北京地区使用某银行网上银行的客户，陆续有人发现自己账户中的存款被人转移到陌生账号上，被盗金额从几百元到1万元不等……至于网络游戏账号密码被盗案例更是数不胜数，屡屡见诸于报端。

　　据反病毒机构江民科技日前开展的一项关于网上密码信息安全状况的调查显示，39.43%的用户有过密码被盗的经历，34.50%的用户没有对自己的密码采取任何保护措施，13.61%网民表示采取过密码保护措施但仍然被盗……

　　那么，网络用户的密码是如何被窃的，作为普通用户又该怎样保护自己的密码安全呢？

　　设置密码要“够乱”

　　江民科技专家介绍，比较原始的窃密技术是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如网上银行账号，而恰巧你的密码又十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破释出密码来。比较典型的案例是QQ密码破解工具。2004年年底，江民反病毒中心监测到，QQ本地密码验证的加密算法已被破解，获得QQ本地密码验证加密算法后，像“800612”这样的6位生日数字密码，可以在1分钟之内被破解出来。不过，江民的专家介绍，如果网络用户把密码设的较长一些而且没有明显规律特征（如用一些特殊字符和数字字母组合），这种破解工具的破解过程则仍“非常困难”。因此，为了保护自己的密码，首先应确保所设的密码“够乱”，其次尽量不要使用QQ或Windows“记住密码”的功能。用户应该把自己的账户号码与密码放在同等重要的位置进行保护，特别注意不要在公用的电脑上使用网上交易系统，不要在与好友通过QQ、MSN等即时聊天工具聊天时透露你的账号密码。

　　不妨使用“虚拟键盘”

　　在大部分用户意识到简单的密码在黑客面前形同虚设后，人们开始把密码设置的尽可能复杂一些，这就使得暴力破解工具开始无计可施。这时候，黑客开始在木马病毒身上做文章，他们在木马程序里设计了钩子程序，一旦用户的电脑感染了这种特制的病毒，系统就被种下了“钩子”，黑客通过“钩子”程序监听和记录用户的击键动作，然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。比较典型的案例如“密码大盗”。2005年1月26日，江民反病毒中心率先截获特洛伊木马“密码大盗”，该木马伪装成QQ升等级的挂机工具，通过安装Windows钩子和子类化IE服务器窗口来盗取用户在网页上输入的敏感信息。

　　对付击键记录，目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘，用户在输入密码时，先打开软键盘，然后用鼠标选择相应的字母输入，这样就可以避免木马记录击键，另外，为了更进一步保护密码，用户还可以打乱输入密码的顺序，这样就进一步增加了黑客破解密码的难度。

　　“网络钓鱼”等带来更大威胁

　　软键盘输入使得使用击键记录技术的木马失去了作用。这时候，黑客仍不甘心，又开始琢磨出通过屏幕快照的方法来破解软键盘输入。2004年出现的“证券大盗”病毒，病毒作者已考虑到软键盘输入这种密码保护技术，病毒在运行后，会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片，然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置，就很有可能破译出用户的登陆账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上证券交易安全。

　　除了通过木马技术进行窃秘外，“网络钓鱼”也是黑客进行网络窃秘的主要手段。近年来，网络上出现了各种花样翻新的“网络钓鱼”事件。2004年7月19日，一个恶意网站伪装成联想主页，通过恶意脚本程序，利用多种IE漏洞种植木马病毒，并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息，诱使更多用户访问该网站造成感染。该恶意网站的利用数字1和小写字母l的相似性，令钓鱼网站域名看起来竟然与联想官方网站没有任何差别！

　　面对“屏幕快照”、“网络钓鱼”这些更加猖獗的盗窃伎俩，网络安全技术人员研发了各种的应对技术和措施，如比网上银行普遍采用的数字证书技术，以及动态口令技术。此外，江民科技于日前发布了其新型网络防窃密产品“江民密保”，也可防御此类病毒对电脑的威胁。