在网络安全越来越重要的今天,仍然有很多人选择使用生日日期作为自己的密码,或者是123456、qwer1234之类的弱密码,我们今天的主题就是密码安全和我们息息相关的那些事。
弱密码
首先我们了解一个概念,什么是弱密码,在维基百科上,对弱密码的定义是易于猜测的密码,事实上,弱密码其实就是那些基于公开/半公开信息而建立的密码,比如你的名字,你的生日,你们的结婚纪念日,你孩子的生日等等。而这些公开/半公开的信息其实是很容易被别有用心的人获取,至于为什么,等下会讲到。
我们来看一看一些常见的弱密码:
- 123456
- a123456
- 123456a
- 5201314
- 111111
- woaini1314
- qq123456
- 123123
- 000000
- 1qaz2wsx
- 1q2w3e4r
- qwe123
- 7758521
无论什么时候都应该避免使用弱密码,因为这些密码实在是太多人使用了,用这些密码跟裸奔几乎没什么区别。
密码是怎么泄露的
很多人会非常奇怪,我使用的密码是是自己的生日+名字等混合起来的,或者是是非常复杂的密码,为什么会被盗?
首先,很多账户被盗事件,都不是针对个人的行为,而是在大规模的洗库操作中被批量攻击了账号,而这些批量攻击的目的,是为了攫取利益,我们来举一个例子。
小A是一个程序员,很久以前他在CSDN注册了一个账号,使用的是自己常用的密码a123123,而他在网易邮箱也注册有一个账号,他为了玩魔兽世界,用这个邮箱注册了战网通行证,我们看一下会发生什么事情。
- CSDN被入侵
- CSDN整个用户数据库被暴库
- CSDN使用明文保存了用户的密码
- 入侵者编写工具,用CSDN的密码去批量对网易邮箱撞库
- 小A的网易邮箱因为使用了同样的密码而被攻破
- 入侵者把攻破的邮箱密码记录起来,发放给下游
- 下游拿到邮箱账号和密码的登陆权限,寻找可以获利的地方
- 很快他们发现小A的魔兽世界账号有很多金币和资源并洗劫一空
这是个基于真实案例的例子,可笑的是,网易邮箱后来也因为严重的漏洞而被暴库,在爆出的数据库里,它也用明文保存密码,那次事件后,网易邮箱引导大多数用户建立了手机短信二次验证。
这里我们不去深究他们为什么要用明文去保存用户的密码,小A损失的只是游戏里的虚拟资产,而很多人损失了实实在在的金钱。
这是一个真实存在的黑色产业链,所以不要奇怪为什么自己没有在不安全的环境中登陆过,账号却依旧被盗了,只要有利益,这些人什么事情都做得出来。
这还只是批量的密码盗窃,还有专门针对性的密码攻击行为,比如社会工程学攻击,攻击者可以根据你公开/半公开的信息直接猜出你的密码,上网越久,你在网上留下的痕迹也越多,而这些攻击者就是通过挖掘这些痕迹来攻击你的。
很可怕,是不是?
选择强壮的密码
很多人选择弱密码的一个重要的原因就是为了好记,或者怕自己记不住复杂的密码而丢掉账号,这其实是个误区。
人的大脑不仅擅长于记忆规则的信息,对于不规则的信息其实也可以轻松记忆,只要不断地回顾、使用这些信息,要忘掉是件很难的事情。
选择一个类似于en12Kdlz;#sp1*cnc,zk!d这样毫无规律可言的随机密码,能大大增强你账号的安全性,但是我们的账号那么多,不可能每一个网站/app都记忆一个这样复杂的密码,对不对?放心,有办法的。
安全建议
- 使用至少16位长度的密码(密码越长,被遍历破解的难度越大)
- 对于不同的网站/app使用不同的密码
- 能够开启二次验证的网站/服务一定要开启二次验证(这里通常都是短信验证,虽然短信也是可以被攻击截取的,但这种针对性的攻击其实很罕见,普通人也遇不到,所以短信验证其实是目前非常行之有效的安全校验方式)
- 随机生成密码,而不是基于自己的生日、名字等信息构造密码
- 使用诸如keepass之类的密码管理工具对自己的密码进行统一管理(https://keepass.info/)
- 对于不太重要的网站,直接使用chrome的密码工具生成并保存密码,这样在浏览器内,这些密码就能时刻保存并自动填充到密码框里了
- 不要在微信/QQ等聊天工具里发送密码
- 密码之所以叫做密码,是为了私密的使用,所以,不要和别人共享你的密码
每个人都应该重视密码安全的问题,因为在网络空间里,这关系到你的数据安全边界,如果这个边界没有了,又被别有用心的人利用的话,那损失可就大了。
所以,拜托了,不要用自己的生日做密码,好不好?