密碼是否可靠？12種方法幫你守護賬戶密碼安全

過去和現(xiàn)在都不斷在上演的信息泄漏事件，已是一個老生常談的話題，可以預見在將來的一段時間內(nèi)，依舊會是讓人們頭疼的事情。

剛剛邁入2020年不久，此類安全事件就已頻發(fā)，前有國內(nèi)鄭州市某民辦高校近兩萬名學生信息遭泄露，其中涉及身份證號等20多項信息;臺灣省發(fā)生重大個人數(shù)據(jù)泄露事件，84%公民信息出現(xiàn)在暗網(wǎng);后有美國教育機構(gòu)供應商 Active Network為學校提供的會計軟件Blue Bear 被黑客入侵，拿走其支付卡數(shù)據(jù);美國明尼蘇達州 Alomere Health 醫(yī)院被曝該院兩名員工的電子郵件賬戶遭到黑客入侵，發(fā)生數(shù)據(jù)泄露事件。

從這些數(shù)據(jù)泄露事件中，我們可以發(fā)現(xiàn)：首先從受泄露影響的人數(shù)看，少則幾萬人，多則千萬，比如美國 Alomere Health 醫(yī)院的信息泄露影響近 5 萬人，而臺灣省則泄露 84%公民信息;其次，泄露數(shù)據(jù)內(nèi)容詳細，維度多，例如鄭州高校數(shù)據(jù)泄露涉及20多種個人信息;同時數(shù)據(jù)泄露事件愈加頻繁，不僅個人，企業(yè)、組織機構(gòu)和國家政府都不斷陷入數(shù)據(jù)泄露，而且橫跨金融、教育、醫(yī)療到科技，涉及各行各業(yè)，影響深遠。

這些案例令人觸目驚心，然而截止目前，最大的數(shù)據(jù)泄漏原因依舊是來自配置不當?shù)南到y(tǒng)，其中就包括身份驗證和密碼薄弱。

弱密碼存在的巨大隱患，和我們每一個人息息相關(guān)，今天就讓我們來聊一聊如何 “遠離弱口令，保護信息安全。”

什么是弱口令？

如果你的密碼設(shè)置得很好“猜”，我們就可以說這個密碼的強度很“弱”，就是一個“弱口令”。

1. “弱口令”具體長什么樣子呢？

123456常年霸占弱密碼榜首

根據(jù)splashdata的統(tǒng)計，2019 年的十大弱密碼仍是那幾個熟悉的面孔，和 2018 年的榜單做個比較，上榜的密碼大同小異，雖然“sunshine”跌出 Top 10 榜單，但也仍位居第30名，新進榜的還有更弱的“123123”， “123456”依然穩(wěn)穩(wěn)拿下弱密碼冠軍的寶座。

這些高頻出現(xiàn)的口令，往往就是黑客最偏愛“猜測”的口令，也就是典型的“弱口令”，弱口令還包含空口令和通用口令和一些用戶名相關(guān)的口令（大家可以看看自己平時是不是也經(jīng)常設(shè)置這些密碼）。

2. 空口令和通用口令

“空口令”很好理解，就是完全不設(shè)置口令。最常見的是在開發(fā)測試環(huán)境，搭建的數(shù)據(jù)庫（比如MySQL、memcache、redis、mongoDB等等），為了方便，完全不設(shè)置任何密碼，登錄的時候不需要停下來輸入密碼的感覺真是太愜意了，不過黑客也不需要輸入密碼就能偷取你的隱私，會更愜意呢。

另一種情況，管理人員可能已經(jīng)意識到密碼強度太弱不好了，于是設(shè)置了一個字母+數(shù)字+特殊字符的口令，比如“complexPWD@1984++這樣的口令，看上去不那么容易“猜”得出來了，可惜，整個團隊的人都在用，時間長了，團隊人員變動，或者某個成員個人電腦、服務器被黑，都會導致團隊的通用口令泄漏。因此，使用靜態(tài)的通用口令依然要被視為“弱口令”。

3. 和用戶名相關(guān)的口令

有些人會把密碼設(shè)置得跟用戶名有一定的關(guān)系，比如：用戶名是小明，密碼是小明的生日、手機號、紀念日、父母的生日;也有人用自己的車牌號碼，家庭住址門牌號碼，這些常見的“密碼套路”，極容易被破解。因為本質(zhì)上還是和你的一些基本信息有關(guān)聯(lián)，別以為黑客就不知道了。黑客可能擁有某些網(wǎng)站的數(shù)據(jù)庫，可以直接查詢你的這些信息，就算不通過數(shù)據(jù)庫查詢，枚舉所有的生日、手機號（尤其針對某些地區(qū)的號碼段范圍）其實也花不了多少時間。

除了密碼設(shè)置外，還有一些人們?nèi)菀资韬雒艽a的場合。

4. 在使用內(nèi)網(wǎng)時

有些人具備一些基本的安全常識，不會在公開場合設(shè)置“弱口令”，但是在公司內(nèi)部，尤其是測試環(huán)境，又很容易松懈，認為內(nèi)網(wǎng)是 “可信”的。

這就too young too simple了，誰能保證內(nèi)網(wǎng)就不被黑客滲透呢？一旦黑客進入內(nèi)網(wǎng)，我們的“可信的內(nèi)網(wǎng)”就變成了“赤裸的內(nèi)網(wǎng)”……

大公司內(nèi)網(wǎng)滲透的案例，業(yè)界每年都會發(fā)生十多次或者更多，所以信任內(nèi)網(wǎng)并不是一個正確的安全態(tài)度。

還有很多同事說，我的“測試”機器，上面沒有什么“重要”數(shù)據(jù)，所以弱口令就弱吧，沒什么風險的。

這又一次too young too simple了，黑客通過弱口令拿到的，不僅僅是你機器上的“測試數(shù)據(jù)”，而是等價于你服務器享有的一切受信權(quán)限：

你這臺服務器可以訪問其它的敏感數(shù)據(jù)，現(xiàn)在黑客也擁有了同等的權(quán)利

你這個數(shù)據(jù)庫可以讀寫服務器上的其它敏感文件（比如MySQL可以loadfile讀取機器上的/etc/passwd文件，或者 into file 寫入到任意可寫路徑，造成進一步入侵）……

尤其是疫情期間大多數(shù)企業(yè)都采用遠程辦公，企業(yè)安全的脆弱性問題無疑被放大了，如果說身份與訪問管理是數(shù)據(jù)安全的“重災區(qū)”，那么“弱密碼”則無疑是“震中”。

倘若處理不慎，很可能因為自己是弱密碼被輕易破解而導致黑客橫向攻擊了單位內(nèi)網(wǎng)，拿走核心敏感文件而帶來巨大的名譽和經(jīng)濟損失。

5. 在使用多個平臺時

《我國公眾網(wǎng)絡安全意識調(diào)查報告》顯示：

定期更換密碼的被調(diào)查者僅占18.36%，而遇到問題才更換密碼的被調(diào)查者有64.59%，有17.05%的被調(diào)查者從來不更換密碼。

調(diào)查顯示，大多數(shù)人為了記憶方便，公眾多賬號使用同一密碼的情況高達75.93%，特別是青少年多賬號使用同一密碼的比例高達82.39%。多賬戶使用同一密碼更容易遭到黑客攻擊，尤其是會面臨被“撞庫”的重大風險。所謂“撞庫”，即黑客攻破某一網(wǎng)站后，會用獲取的賬號密碼去測試其他平臺，那些多個平臺用一套賬號密碼的用戶就會中招，甚至可能清空你的銀行卡。

我們之前曾推薦過幾個工具網(wǎng)站給大家，可以戳鏈接檢測你的用戶名、密碼、電子郵箱地址是否已被泄漏？

如果你或者身邊有人不慎泄露個人信息了，往下看，幾招教你養(yǎng)成好的安全習慣。

怎么保護我們的密碼

1. 設(shè)定多套密碼

安全專家建議，可以為自己設(shè)定多套密碼，東南大學網(wǎng)絡空間安全學院副教授宋宇波說：“重要系統(tǒng)（比如網(wǎng)銀等和隱私密切相關(guān)的）和非重要系統(tǒng)（一些論壇、查閱為主的網(wǎng)頁）的密碼要分開，工作、生活、和理財賬戶使用不一樣的密碼，這樣能減少風險?！?/p>

2. 不要到處亂貼自己的密碼

工作中見過不少小伙伴，由于密碼難記，于是寫在便箋上，貼在座位或者顯示器附近。方便了自己，也往往方便了陌生人?！度肭值乃囆g(shù)》里，凱文。米特尼克就這樣獲取過某銀行的密碼然后入侵了進去。

3. 不要在公共場合大聲地說出密碼

有時候在電梯里、公交車上，聽到敬業(yè)的同事處理工作事宜，會在電話里大聲的透露自己的密碼。在電話那頭的同事獲得密碼的同時，如果附近有居心叵測的人，也同樣會獲得這個密碼。

4. 不要明文存儲自己的密碼

筆者曾經(jīng)遇到過一個真實的案例，有同事把存儲了密碼和很多工作相關(guān)信息的txt文件（包括寫在記事本里、郵件里），打包在網(wǎng)站根目錄下，命名為readme.txt，結(jié)果這個文件被外部人獲取到了……

5. 采取統(tǒng)一認證

所謂統(tǒng)一認證，就是將需要登錄的若干個系統(tǒng)，整合在一個地方。 這個時候，你就不再需要記憶很多站點的密碼，集中記住一個就夠了。

比如能夠用QQ或微信登錄的地方，就不用再去另注冊一個用戶名和密碼了。

6. 重要系統(tǒng)不要只用密碼認證

比如大家在登錄網(wǎng)上銀行的時候，可能還需要結(jié)合短信驗證碼、動態(tài)口令令牌、手機APP掃描等多種手段。

即使密碼真的泄漏了，如果重要的系統(tǒng)必須同時滿足2，3種驗證手段才允許登錄，那么這個系統(tǒng)的安全性自然會更高一點。

7. 使用復雜的口令

復雜口令，首先密碼的長度要長，至少8位以上。比如你的密碼是6位純數(shù)字的782341 ，黑客寫個程序從 000000 逐個猜到 999999 ，最多猜100w次，就能把你的密碼“猜”出來，而你的密碼是8位，它就要猜1億次。

其次，密碼不要純粹的使用數(shù)字或字母，而是要數(shù)字、字母、特殊字符夾雜著。這樣，如果你的密碼是8位，每一位可以使用26個大寫字母、26個小寫字母、10個數(shù)字、若干個特殊符號，那么黑客就要猜測至少 N的8次方，N大于72，這可是一個更大的數(shù)字，很多黑客沒有耐心這么猜下去的。

8. 使用替代語

有小伙伴或許要問：“你說的都對，可是讓我想個復雜的密碼，我腦子一片空白，該怎么做才能滿足復雜的要求呢？”建議你嘗試使用諧音等替代語作為密碼。

如果你熱愛文學

▽

如果你英語很好

▽

這樣只有你懂的代替語，別人即使看到了，也是一頭霧水。

9. 使用屏保/鎖屏密碼

一定要設(shè)置屏保密碼，假設(shè)你突然被叫走，你的電腦不知道會被誰使用，重要的文件可能會被拷走。手機上的鎖屏密碼也是一樣，所以設(shè)置屏保/鎖屏等手勢密碼很重要，可以采用一些復雜但形象的方式，比如：

后羿射日

這樣可以給你的設(shè)備雙重的保障。

10. 使用密碼生成器工具

如果你不愿自己思索密碼，可以搜索“密碼生成器”：能隨機生成一定程度的復雜密碼。

近日，蘋果公司就發(fā)布了一組有關(guān)密碼的免費資源和工具，她們向密碼生成器提供了當今流行網(wǎng)站的密碼規(guī)則，以便讓密碼生成器在網(wǎng)站密碼規(guī)則范圍內(nèi)盡可能生成高強度的密碼，這些工具資源統(tǒng)稱Password Manager Resources，目前已經(jīng)在Github上開源，大家可以去嘗試。

11. 使用密碼管理器工具

有時我們的密碼是設(shè)置的挺復雜，可是一轉(zhuǎn)頭自己也忘了密碼是什么，這種時候，可以借助一些專業(yè)的密碼管理軟件，把各個地方的密碼管理起來，下一次想不起密碼的時候不用抓耳撓腮，只要復制粘貼就可以了。

密碼管理器能夠幫助你解決記憶的難題，還能保證較高的安全性，這方面的軟件有很多，例如：KeePass DX，Password Safe和KeePass，Easypass等。

當然，密碼管理器也有一個密碼，這個密碼叫做主密碼，你必須牢記主密碼，并且為了防止遺忘，最好把主密碼記錄在其他私密的地方。

12. 定期更換密碼

即使你擁有了一個復雜的密碼，也不要長時間使用，因為有時候密碼可能泄漏了我們卻不知道。面對這種情況，定期更換就是一個很好的策略，哪怕我們的帳號密碼一時間被黑，泄露出去了，修改了密碼之后，攻擊就失效了。

人在江湖飄，哪能不挨“盜”？或許沒有什么能保證絕對的安全，使用指紋解鎖、面部解鎖也不例外，但正因為如此，我們平時才要多注意密碼安全，多學習保護措施，并且及時去實踐操作，這樣才能在面對這些可能發(fā)生的意外時，更加的從容淡定，更好的解決問題。