有這麽一個笑話,說是在ATM看到一對小情侶過來取錢。女生把卡插了進去,輸密碼的時候笑著推開旁邊男朋友,讓他不許偷看,然後輸了前3位的密碼。輸好前3位密碼,女孩退了出來,招呼男孩過去輸後三位密碼。男孩笑著走過去,刪除了女孩輸的前3位密碼,然後輸了一個6位數的密碼把錢都取了出來。
密碼是非常重要的驗證工具(圖片源自openerp)
這種方法我們不提倡,不過大家也都知道,不管是網絡上的账號還是銀行裡的账戶,都是由密碼來保障其安全,所以一個靠譜的密碼是非常有必要的。
面部識別和指紋解鎖都可以通過密碼來破解(圖片源自知乎)
雖然有了指紋識別,面部識別等更加高端的解鎖方式,但只要破解了解鎖密碼,其他的安全防護就都形同虛設了,我們都知道123456是一個很糟糕的密碼,但是這個密碼有多糟糕呢?你的密碼安全性又如何?
密碼是一個用於身份驗證的保密的字元串,用於账戶及個人隱私的保護,是和账號關聯在一起的。
密碼的工作原理其實很簡單,用戶輸入账戶名和密碼,只要兩者吻合就可以獲得對應的權限了。容易發現,雖然账號不會相同,但是密碼可以相同,而很多簡單的密碼就成了常見的“通用密碼”。
用戶名和密碼驗證登陸資訊(圖片源自maatschap)
不同的網站都會把账戶名和密碼保存好,一方面用於驗證登陸資訊,另一方面還要保護密碼不被竊取,所以負責的網站是不會明文保存用戶的密碼的,這樣即使發生萬一也不會泄露隱私。
明文保存密碼不靠譜(圖片源自部落格園)
但是嚴密的防護還是有可乘之機,密碼強度和密碼破解效率一直在此消彼長,而且隨著電腦性能的增強,兩者的攻防戰還在加劇。
有些黑客為了竊取隱私或資金會盜用他人的账戶,破解密碼就成了一個“工作”。破解密碼的一個最簡單的方法就是暴力破解,簡單來說就是一個一個試,直到試對為止。
破解集群的伺服器之一(圖片源自arstechnica)
暴力破解有一個很明顯的問題,就是密碼越長,破解的時間就會成倍增加,一旦超過某個長度,基本上就很難破解了。
按照密碼破解專家使用的集群,每秒可以進行3500億次攻擊,按照這個速度,破解一個6位的密碼只需要4.08秒,7位密碼需要6.47分鐘,8位密碼需要10.24小時,9位密碼需要40.53天,10位密碼就需要10.55年了。
暴力破解密碼(圖片源自ppabc部落格)
那麽是不是密碼越長就越安全呢?從暴力破解的角度來說是這樣,但是破解的技術也在增加,於是就衍生出了“密碼本”。
密碼本其實是很多密碼的合集,專門破解密碼的人員會將常見的密碼和詞匯組合,成為一個常見密碼的匯總,而且隨著破解成功的密碼增加,這個密碼本也在不斷豐富。
不同的破解專家針對不同的環境會使用不同大小的密碼本,也就是將原始的暴力破解改成了將密碼本中的密碼進行嘗試,有些人還會有自己的密碼本,一般來說密碼本越豐富就會涵蓋越多的常見密碼,快速破解的幾率就越高。
《辛普森一家》中,巴特在黑板上寫下“我應該使用強密碼”
根據網絡安全公司SplashData的數據,用123456作為密碼佔據了常用密碼的首位,其次是password(密碼的英文),12345678排在第三是因為有些網站要求密碼長度不少於8位。
自己設定一句話可以繞開密碼本(圖片源自makewaves)
其他的常見密碼還有letmein(讓我進去),iloveyou(我愛你),starwars(星際大戰),monkey(猴子),甚至還有whatever(隨便)和trustno1(不要相信任何人),這些密碼可以說是沒有任何保護功能,用專門的密碼本可能不到一秒就可以破解。
關心安全的朋友可能就要問了,如何增強自己的密碼呢?
是增加你的密碼複雜度。一個安全的密碼應該同時包含大寫字母,小寫字母,數字和特殊字元,比如?和這樣的符號很少在密碼中使用,所以密碼本中也很少會用到,因此增加複雜度可以增強密碼。
使用複雜的密碼更安全(圖片源自Anonymster)
增加你的密碼長度。一個強密碼至少要達到8個字元,特別長的密碼即使簡單也不容易破解,所以單純增加長度同樣可以強化密碼,哪怕只是重複了兩遍短密碼。
不要在不同的網站使用相同的密碼(圖片源自YouTube)
使用不同的密碼。我們在生活中會用到各種各樣的账戶,有些人為了方便記憶就會採用一個通用密碼,然而這樣一旦碰上不靠譜的網站,明文保存密碼泄露會導致所有账戶的安全性受影響,所以不同的账戶應該用不同的密碼,或者至少採用3個以上的密碼用於保護不同重要等級的账戶。
有些密碼看起來很複雜而且符合強密碼的特徵,但實際上由於想法太簡單或者使用的人太多已經在密碼本上,比如p@$$\/\/0rd,這時候就不要採用這樣的弱密碼了。
密碼泄露測試(圖片截自astrill)
如何判斷自己要使用的密碼是否泄漏呢?可以進行密碼泄漏測試,如果顯示密碼已經泄漏,就要立即停止使用並更換強密碼。
特別長的強密碼如何記憶呢?一種方法是採用有特殊意義的縮寫,比如將一首詩的首字母組合起來,cqmygysdssjtwmydtsgx(床前明月光,疑是地上霜。舉頭望明月,低頭思故鄉。)
字母變形可以讓密碼增強(圖片源自queenwiki)
還有一種方法,就是將登陸網站作為前綴/後綴放在強密碼中,這樣每個網站都有不同的密碼,比如中關村在線的密碼採用zol123567,騰訊的密碼採用qq123567,百度的密碼採用bd123567,等等。
將幾個不相關的詞結合起來是一個好方法,另外,密碼本中的詞匯多為英文單詞,用漢語拚音就可以繞過多數密碼本,總之,密碼應該足夠長來保證高強度。
記錄的密碼要保存好(圖片源自Entrepreneur)
最後我們再提示大家,如果將密碼寫在紙上,就不要放在登陸設備(手機/電腦)的旁邊,不要講任何密碼透漏給他人,多借助安全驗證工具,足夠的安全意識還是要有的,關於密碼你有什麽問題和創意也歡迎在文末的評論中和我們一起交流。
香港九龍灣馬來街興發大廈15樓D室