最容易被盗的密码,你中了么?

在 2020 年末,NordPass 公布了 2020 年使用率最高的 200 个密码,排名靠前的几个密码分别为 123456、123456789、password、12345678、111111、123123、12345、1234567890、1234567、000000、1234 …… 除了纯数字,还有各种数字和字母组合,例如:qwerty、abc123 和 picture1 等等。

NordPass 与第三方提供商合作,对包含了 275,699,516 个密码的数据库进行评估。其中只有 122,894,788 个密码(44%)是独一无二的,其他的则是重复使用的、容易记住的密码,用户极易受到在线威胁。而在今年使用最多的 200 个密码中,只有 78 个是新密码。NordPass 的网络安全专家查德哈蒙德说:“大多数密码可以在不到一秒的时间内被破解,比如,最常用的密码“123456”已经被攻破了 235,973,11 次。”

什么样的密码不安全?

尽管大多数人都了解密码安全性的基本知识,包括使用强密码,不要在其他站点上使用相同密码等。但许多人抱有侥幸心理,嫌弃密码太复杂记不住等原因,在不同网站使用相同密码是非常常见的。甚至有不少人直接 123456 作为密码。这样的行为导致密码很容易被破解,影响帐户安全。

密码过于简单,当获得用户凭据后,许多黑客会登录他们的帐户,以窃取更多个人身份信息,例如姓名,地址和银行帐户信息等等。黑客会使用这些信息直接从用户那里窃取金钱,或者窃取其身份,身份盗用可能导致进一步的财务损失。对于企业而言,黑客可以发起针对公司的虚假信息宣传活动,与竞争对手共享他们的数据,并以赎金的形式进行威胁。

下面是一些针对增强密码安全性的小建议:

  • 避免使用字典单词、数字组合或相邻键盘组合的字符串。例如 qwerty、asdfg 或 password 等。此外,不要使用重复的字符,比如 aaaa 或 123abc。这些都是很糟糕的密码。
  • 许多人会使用名字或者非机密的个人信息(电话号码、出生日期等)作为密码,或者是亲人,孩子,或宠物的名字。当我们单击一些网站中的“忘记密码”链接时,系统有时会要求回答一系列问题。而答案通常可以在我们的社交媒体资料中找到,从而使帐户更易被破解。
  • 切勿在多个站点之间重复使用密码。重复使用电子邮件,银行和社交媒体帐户的密码更可能导致身份被盗用。

大多数人或许没有意识到,有许多常用的技术可以用来破解密码,而这些简单且广泛使用的密码,会使帐户更易受攻击。其中最常用的技术就是字典攻击和暴力破解。

暴力破解是指在要输入密码时,临时按照设定的长度、选定的字符集生成用于测试的密码。例如,密码生成长度为 6 ,那么密码依次是:aaaaaa、aaaaab、aaaaac … 如此下去直到 6 个空格。类似地毯搜索,只要肯花时间是一定能找出来的。

字典攻击是指在破解密码或密钥时,逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。暴力破解会逐一尝试所有可能的组合密码,而字典攻击会使用一个预先定义好的单词列表,通过减少字符集缩短查找时间。

那么用户能做些什么来加强安全呢?

如何保证账户安全

我们可以从密码强度和登录方式两个方面着手,尽可能的保证帐户安全。

创建和使用更安全的密码

创建密码,首先要保证密码长度和复杂性。最保险的密码长度应至少为 12个字符,并且可以包含字母,数字和符号。注意密码不应包含用户的任何个人信息,例如地址或电话号码等。举个例子,可以通过一个易于记忆的简短句子作为密码(天王盖地虎,要上 985:Twgdh@ys9-8-5)。或者使用键盘创建形状:%tgbHU8*,按照键盘上的指示进行操作,这是一个 V。还有最方便的方法,可以使用密码生成器。

另外密码不应与任何其他帐户共享,确保为每个帐户使用不同的密码。在公共场合输入密码时,请确保附近没有人注意。避免在不受控制的计算机(例如网吧或图书馆)上输入密码,因为这些计算机上可能存在恶意软件,会窃取用户的密码。密码要经常更换,至少每 90 天更改一次密码。最后一点,密码不要告诉任何人哦!

其他保护密码的方式

除了为所有帐户创建安全且唯一的密码外,还有其他一些方式可提高密码的安全性。

  • 使用最新的防病毒安全软件。安全软件会扫描计算机中的恶意软件,病毒,勒索软件,间谍软件和其他网络威胁,保证我们的环境安全,避免密码泄露。
  • 使用双重或多重身份验证。也就是说用户不仅需要输入密码来登录帐户,还需要输入第二条信息。比如,输入密码之后还需要输入正确的手机验证码才能登陆。
  • 尽量不要让浏览器记住密码。尽管浏览器中的此功能可以让我们轻松进入帐户,但也会让其他人趁虚而入。
  • 使用密码管理器。记住许多随机的,复杂的密码,并且每次都必须手动输入,这让人很是头疼。密码管理器将用户的用户名和密码存储在加密的库中,只有用主密码才能打开,我们只需记住主密码即可。
  • 注意钓鱼网站。一些黑客会假装官方人员诱骗用户访问到他们的钓鱼网站,进而收集帐户密码等关键信息,令人防不胜防。所以一些要求输入密码的网站要格外注意。

既然说到了密码和登录安全的问题,巧了,又拍云已经上线的“一键登录”功能,依托于电信运营商的移动数据网络,采用“通信网关取号”及 SIM 卡识别等技术,整合了三大运营商的网关认证能力,可以自动识别和获取本机号码,完成用户身份校验。既避免了输入和管理密码的麻烦,又增强了登录的安全性,避免账号被盗。方便、快捷的注册、登录方案,将原本可能需要 20 秒的流程,缩短到了 1.5 秒左右,极大程度地提高了 App 用户的转化率和留存率。

总之,在密码设置过程中,既要方便你自己记忆,同时要让别人无法破解。

推荐阅读

Doge.jpg 的背后是什么,你知道么?

Wi-Fi 6 与 5G 相比哪个更快?


云叔
-- 隐于云端,静闻天籁 --

又拍云是专注CDN、云存储、小程序开发方案、 短视频开发方案、DDoS高防等产品的国内知名企业级云服务商。

5.8k 声望
4.6k 粉丝
0 条评论
推荐阅读
如何高效实现 MySQL 与 elasticsearch 的数据同步
MySQL 自身简单、高效、可靠,是又拍云内部使用最广泛的数据库。但是当数据量达到一定程度的时候,对整个 MySQL 的操作会变得非常迟缓。而公司内部 robin/logs 表的数据量已经达到 800w,后续又有全文检索的需求...

云叔_又拍云阅读 321

封面图
安全地在前后端之间传输数据 - 「3」真的安全吗?
在「2」注册和登录示例中,我们通过非对称加密算法实现了浏览器和 Web 服务器之间的安全传输。看起来一切都很美好,但是危险就在哪里,有些人发现了,有些人嗅到了,更多人却浑然不知。就像是给门上了把好锁,还...

边城29阅读 6.4k评论 5

封面图
http 和 https 的通信过程及区别
🎈 两者的区别端口: http 端口号是80, https 端口号是443传输协议: http 是超文本传输协议,属于明文传输; https 是安全的超文本传输协议,是经过 SSL 加密后的传输协议安全性: https 使用了 TLS/SSL 加密,...

tiny极客2阅读 2.8k评论 2

封面图
支付对接常用的加密方式介绍以及java代码实现
加密解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。只要通信需要...

京东云开发者3阅读 481

封面图
JWT 登录认证
🎈 Token 认证流程作为目前最流行的跨域认证解决方案,JWT(JSON Web Token) 深受开发者的喜爱,主要流程如下:客户端发送账号和密码请求登录服务端收到请求,验证账号密码是否通过验证成功后,服务端会生成唯一...

tiny极客2阅读 975评论 1

封面图
ctf(pwn&reverse)总结
F5/tab 查看伪代码空格 查看汇编代码视图->打开子视图->字符串 :查看所有字符串编辑->修补程序 :修改程序 修改完后点击修补程序应用到输入文件即可保存修改

白风之下阅读 2.9k

什么是跨域?如何解决跨域?
跨域: 它是由浏览器的 同源策略 造成的,是浏览器对 JavaScript 实施的安全限制,所谓同源(即指在同一个域)就是两个页面具有相同的协议 protocol,主机 host 和端口号 port 则就会造成 跨域

tiny极客1阅读 818评论 1

封面图

又拍云是专注CDN、云存储、小程序开发方案、 短视频开发方案、DDoS高防等产品的国内知名企业级云服务商。

5.8k 声望
4.6k 粉丝
宣传栏