說到社工庫，現在很流行，數據也越來越龐大、詳細，其威脅程度日愈嚴重。其中威脅最高的就屬密碼庫了，也是數量最大，影響范圍最廣的。

密碼庫主要來源就不說了，各種拖庫……

其中密碼形式主要分這幾種：

第一種是未加密的明文密碼，威脅程度最高。(不得不說這種儲存明文密碼的站點有多么的二逼!更可悲的是這種站點有很多!!)

另一種是加密過的密碼密文，威脅程度視加密等級而定。

第三種是破譯成本很低的密碼密文，例如僅一次MD5，等低強度加密算法，威脅程度最高。

其中無法破譯的密文，情況還好點，暫時沒什么大的影響。

而明文和破譯成本很低的就不一樣了，用途就不說了吧，大家都懂。

如何防御此類攻擊，針對已泄露的明文密碼來講。目前防御手段大致有兩種：

1、使用一套自己的“抽象密碼記憶方案”，相當于一個自己的“密碼算法”，一段只有自己知道是啥意思的字符串，例如：nuyo0w，字符串 WooYun 的變體，從一定程度上來講，使攻擊者不知所措，但對于高級黑客來講，還是有可能被猜出來密碼規律，最重要的一點，它還是明文!(更好一點的，將重要密碼和一般密碼算法分開記憶)

缺點：增加記憶成本，如果多個密碼的話，最后會很混亂，而且無法防止高級黑客猜測。

2、非記憶密碼方案，即使用密碼生成器、密匙管理器之類的密碼處理工具，需要提供一個原始密碼及鹽，生成一個毫無規律的高強度“明文”密碼，即使某網站泄露了這個“明文”密碼，除了這個網站之外，黑客無法進行其他任何用途，更猜不出密碼規律，使社工庫完全失去存在的意義。

優點：程序算法被破解也沒用，因為需要提供原始密匙或者鹽(保護好你的原始密匙不在任何地方出現)，否則無法生成密文，強度極高!!!

缺點：易用性比較差，因為隨時都需要帶一個加密程序(做成網頁在線版可能好點)，沒帶的話，沒法登陸賬戶。