你設定的账戶密碼真的安全嗎？

近些年，隨著黑客攻擊數據庫的頻頻發生， 很多人的账戶和密碼被泄露了多次。例如，最近在國內影響較大的某集團酒店的全量數據庫被拖庫，涉及的账戶、密碼甚至敏感的個人資訊，統統都發生了泄露。

當黑產犯罪分子，拿到這些账戶數據後，優先要做的事情就是“撞庫”。

撞庫是什麽呢？

撞庫是利用你的账戶，通常是郵箱或者手機號，頻繁測試其它有價值的網站，看你是否也是其它網站的會員，遊戲網站如steam，郵箱账戶如QQ等。如果你給各個網站的账戶，設定的密碼都一樣，那麽你的其它網站的账戶安全很容易被攻破。

當黑產不法分子識別出某些“高價值”账戶時，很可能該账戶還面臨暴力破解的風險，即使你對不同的账戶設定了不同的密碼，但是如果密碼太簡單，或者命中了以下總結的密碼規律時，你的账號仍然不保險。

我們通過分析互聯網上已經被泄露了的3400萬左右的账戶的密碼設定習慣發現，“懶惰是寫在我們大腦硬回路裡面的”。

為什麽這麽說呢？

原因在於大部分用戶的密碼設定模式都過於簡單了。

首先，來看一下3400萬用戶設定密碼時，排在Top50的是哪些常用的密碼：

上圖分左右四列顯示Top50的密碼以及同一密碼的账戶數統計。左側兩列是Top1-25，右側兩列是Top26-50的統計情況。

四類常規的密碼設定方式

我們把常規的密碼設定分成以下幾類：

1、純數字型——此種情形下，大部分注冊系統都會提示密碼較為簡單，要求更換或者強製要求更改。此類型的密碼包括的pattern又分成若乾種，如：

（1）順子類型 1234567890（參見下圖），重複疊加豹子型111111；

（2）浪漫諧音型5201314（我愛你一生一世）；

（3）QQ或者手機號碼型（未在Top50中體現）。

2、純字母型——即鍵盤模式。為什麽單列鍵盤模式呢？因為和順子數值一樣，他們的規律太明顯了，如qwertyuiop,asdfgh（參見下圖）。

3、單詞模式——可包含簡單的數字或者替換數字。簡單的單詞、詞組甚至是名字的拚音模式，如 woaini、loveme、password1、p@ssw0rd等。在混合模式下，還有一些常見的替換符號如s-$、o-0、a-@等構成密碼。

4、字母數字混合模式——這是另一種鍵盤模式，1q2w3e4r,1qaz2wsx（參見下圖）。

七條不安全的密碼構建規則

通過上述常見的密碼構造模式，蘇寧金融研究院風控實驗室總結了下述幾條常見的不安全的密碼構建規則：

（1）密碼是純數字，如123456或者生日日期或者手機號，甚至是重複的多位數值如888888等。

（2）密碼是簡單的鍵盤圖形結構，如波浪形的1q2w3e, 或者平行線的結構如1qaz2wsx,或者簡單的拐角如 123edc等。

（3）密碼是常用詞語的拚音或者英文，如woaini、Password，容易命中常見的密碼字典。

（4）密碼是姓名拚音或者姓名縮寫加日期，容易被猜中。

（5）密碼是郵箱地址、電話號碼等，容易被社會工程學模式猜中。

（6）密碼是簡單字元的變種，如Pa$$word、D0g等，容易命中常見的密碼字典。

此外，密碼是否安全，不僅僅是您個人的账戶密碼設定得好不好的問題，還涉及您账戶所在平台的安全性問題，因此即使您的密碼設定再安全，也不能百分百保證您的账戶就高枕無憂了。我們在網絡泄露的账戶數據庫中，發現了很多超長的密碼，如128位、256位的（參見下圖）：

這種密碼可能屬於機器指令登錄账號，本身是比較安全的，但是當登錄的平台出現漏洞時，再長的密碼也無法保護你的账戶。依此追加一個不安全規則：

（7）同一人不同的账號，采取相同的密碼。

防範账戶密碼被破解的四個竅門

親愛的讀者朋友，如果您的账戶密碼不幸命中了以上7條規則，想必會惴惴不安吧。在這裡，我們總結了4條建議供您參考：

（1）账戶分級：按照账戶的重要性進行不同密碼的設定，比較重要的账戶最好獨立設定密碼。

（2）定期更新密碼：按照時間段進行密碼的更新，如三個月、半年為期限，特別是當存在大規模密碼泄露事件時，需要馬上更改密碼。

（3）避免設定簡單的密碼，如上述的的7條不安全規則。

（4）善用密碼管理工具，如1Password、enpass、keepass等。

來源:蘇寧財富資訊；作者：蘇寧金融研究院風控實驗室首席研究員 鄭清正