本人原创，博文地址：http://idlelife.org/archives/185
朋友的私人邮箱和密码在去年CSDN暴库门中泄露了，直到现在，他的邮箱仍然每天收到近10封的垃圾邮件，不堪其扰。要知道，他平时是很注意保护隐私的，这个邮箱几乎没在网上以完整的形式出现过。
他这还算好的，如果连银行卡、身份证号也一起泄露出去，那才真的危险，那么应当如何避免这种事情呢？
安全专家称，我们应该使用高强度的密码，并且每一个网站都使用不同的密码，但这绝对是坑爹的。
我只能记住一到两个密码，再多，就必须和生日、手机号之类的挂钩，而这，显然正中社会工程学的下怀。
当然还有一种方法，就是另弄一个东西储存所有的密码，比如KeePass之类的，但问题是，太麻烦了，我要不是整理桌面我都忘了自己曾经下过这个东西。
还有一种手段是利用新技术：动态密码、二级认证，但问题同样是太麻烦了。就算只用到少数关键的网站上，我仍然嫌太麻烦了。
那么，真的就无计可施了吗？
我觉得，可以顺着社会工程学的思路来思考，怎么才能不被它发现。
于是我发现了两大原则，可以在社会工程学的攻击之下隐身（特指网络上的）。
一：Don’t be famous
社会工程学攻击是针对特定的人的，这和一般的木马病毒等不同，所以社会工程学在攻击之前首先要确定目标，这个目标是怎么选的呢？一是名人，攻破一个名人，一般收益会很大；二是容易攻破的人，那些天天在微博、贴吧炫耀自曝，没事就自拍一下的，总会留下各种蛛丝马迹，让人轻松攻破。
所以第一条就是要低调，不要在网上做任何有可能出名的事，另外也不要在微博等地方透露个人信息。这样，在社会工程学之下，你其实是个隐身人。就算你上的网站数据库被攻破，你的账号密码泄露，也不会造成多大损失，最多每天收点垃圾邮件。
二、Be another person
一般我们上的网站分两种，一种是存放了私人信息的网站，如微博、银行网站，一种是一般的网站，这两种网站一定要区分开来，分别使用不同的账号密码，这样，只需要两套账号密码。而记住两套账号密码，对一般人来说也不是难事。
而那些一般的网站有些也是要隐私信息的，比如游戏网站，需要实名身份证，怎么办呢？
方法就是，使用另一个人的身份信息。一般情况下，实名身份证要求并不严格，只要格式对了就行，我们就可以创建一个虚拟人，为他建立一套隐私，网站要啥给啥，但是这个人实际上是不存在的。特殊情况下，网站会对身份信息进行认证，这时不能使用虚假信息，但还是可以有应对方法。
就是使用父辈的资料。因为他们一般和你上的网站不同，并且在网上足迹少，即使泄露了损失也较小，甚至，你可以跟他们交换网站注册的身份信息，这样双方都安全了。
严格遵守这两条规则，一般来说，社会工程学是攻击不到你头上来的。不过，如果你非要将密码设成十大易被攻破密码之类的，谁也救不了你。