近日,多个媒体转发了美国密码管理应用提供商SplashData总结出的2011年度最差25个密码。据腾讯网友投票,认为123456、111111这两个密码最差的分别占到63%和17%。金山毒霸安全专家指出,密码是访问网络服务的钥匙,面对肆虐的黑客攻击,网民真该好好思考怎样保证密码安全了。
先思考怎么用密码安全之前,先思考几个问题:
① 你在网上做什么?哪些服务需要密码?
② 你有多少个登录密码?
③ 你是否特别钟爱一个或几个密码?
④ 你是否在多个服务中使用同样的密码,特别重要的是,你会在网银、支付宝、QQ、邮箱等重要服务里使用相同的密码吗?
⑤ 你知道别人有可能轻易猜到你的密码吗?
简单密码为什么很危险
美国密码管理应用提供商总结出的2011年25个最差密码是一些最常用的字串,比如123456、abc123、111111这样的数字字串,password、Monkey之类的单词或短语、还有外国人常用的人名、相邻的键位组合(qwerty、或asdfgh)。
这些最简单的字串被许多黑客工具加到最简单的密码字典中,瞬间即可破解。密码管理者从中统计出最差密码清单可能覆盖了相当多的一部分人群。其中有你吗?
关于密码的讨论是杞人忧天?
有IT专业人士说,对密码的担心是多余的,网站会加密存储你的密码(密文),根据加密算法,密文是不可逆的。也就是说,就算密文被盗,别人也不知道密码的明文是什么。
真是这样吗?不少互联网厂商也这样告知用户,因为企业想让用户觉得自己很安全。
实际根本不是这样,黑客也绝非如此笨拙。有心的黑客收集了大量密码的明文和密文,并以此构建了庞大的数据库(在线密码字典)。
中国有13亿人口,有多少个人名呢?(这里拿人名字串来类比密码),毫无疑问,人名数量绝对比人数要少,因为重名的概率很高。不信你就拿自己的名字搜索一下,找到另一个人的概率非常高。以此类推,可以判断你正在使用的密码,别人也在用。
黑客构建的密码字典规模有多大呢?再举个在线字典的例子。
该网站声称:实时查询记录超7.8万亿条,占用80T硬盘,成功率93%,本站数据库中不存在的记录,则自动进入后台分布式云破解,一天可破解1000万条,成功率98%。
换句话说,据黑客统计,你所使用的密码,与别人重复的概率可能高达93%。
为什么密码重复使用是危险的?
密码重复使用就象用一把钥匙开所有的门。如果钥匙丢了,所有的门就会很危险。
如果网民非常习惯于使用相同的口令,比如支付宝口令、网银口令、邮箱密码和登录某个论坛的口令一样,当这个论坛被黑客入侵时,就意味着,你的支付宝口令、网银口令和邮箱口令同时被盗。
身边朋友密码被盗的案例
有过在QQ聊天时被朋友借钱的经历吗?或者朋友在QQ上要你帮他支付一笔定单。如果收到过,你的这位朋友十有八九是QQ号被盗。
这些被盗的案例非常多,其中有相当一部分人帐号被盗并不是因为电脑中毒。而是因为某一个网站被黑客入侵,黑客从中得到了用户数据。黑客于是顺藤摸瓜,尝试去登录QQ号、邮箱、支付宝、网银。
什么是安全的密码?
金山毒霸安全专家指出,前面提了很多密码不安全的场景,并不意味着网民都得使用特别复杂的密码。因为太复杂的密码,没多少人能记得住。密码应该个性化,且避免使用生日、身份证号、电话号码、手机号、门牌号等容易被猜到的字串。密码可以是某个记忆深刻的事件缩写。总之,除自己之外,别人无法猜到。
因网民需要使用的网络服务有很多,每个服务用不同的密码,再把密码记牢也很有难度。不妨把这些服务分成特别重要或不重要两类,前者包括常用的邮箱、与支付、银行业务有关的服务、云存储服务、QQ号等这些非常重要的服务,一定要确保密码与众不同。不重要的服务与邮箱关联,丢失问题不大,忘了还可以用绑定的邮箱找回。
黑客攻击破坏不大可能杜绝,但我们至少要给攻击者一个不低的门槛,不能遇到一个菜鸟黑客就损失惨重。希望这篇使用密码的短文能给读者一些安全启示,注意定期更换重要服务的密码,使用专业安全软件防止病毒木马入侵盗号。