什么是拖库和撞库?

1、撞库

撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址，这就可以理解为撞库攻击。

2、拖库

拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库文件，拖库的主要防护手段是数据库加密。

保护个人密码的“宝典”：

（一）根据账号重要程度设置密码

根据账号重要程度和网站知名程度，应该分别设置通用密码和重要密码。

（二）设置通用密码但不相同

为防止通用密码被“撞库”攻击，又避免过多的密码容易遗忘，建议在设置密码时采用“通用密码”+“网站标志”的习惯方式进行。

（三）养成手动进入网站的习惯

在收到短信、邮箱等信息提示，要求登录某网上银行等重要系统账号，并附带登录链接地址时，应该避免直接点击信息中的链接进行登录，建议通过自行输入官方网站链接地址进行登录。

通过这些措施，可以提高网络用户的安全观念，保护个人的机密信息，提高网上交易系统的安全指数。

以上内容参考百度百科-撞库

以上内容参考百度百科-拖库

撞库是一种针对数据库的攻击方式，方法是通过攻击者所拥有的数据库的数据通攻击目标数据库可以理解为用户在A网站被盗的账户密码来登陆B网站，因为很多用户在不同网站使用的是相同的账号密码因此可以起到获取用户在B网站的用户账户从而达到目的。

简单来说，假设我有一个邮箱的账号，用户名是abc@xx.com，密码是x6!00AL5y@（很复杂，很安全）。同时因为懒的缘故，我还用这个账号注册了新浪微博、携程、淘宝、微信等等，都采用邮箱注册并且是同一个密码（这种情况很常见，因为懒得记不同的账号）。

而某天，这个账号被黑客知道了（不管是由于坑爹的XX邮箱泄露用户信息，还是我自己不小心）。黑客就会用这个账号来碰碰运气：尝试用它登陆一下你的各类账号，于是你的微博、微信、淘宝、理财账户、12306、游戏账号??他就都知道了。

这类似于撞运气，不过有相当高的成功率罢了。