在当今互联网时代,密码作为我们个人账号的第一道防线,对于保护个人隐私和重要信息至关重要。然而,仍有许多人使用弱密码,这给我们的个人信息和数据安全带来了严重的风险。希望本资料能够提高大家对密码安全的认识,帮助大家建立起使用强密码的意识和习惯,从而更有效地防范弱口令的风险。
一、弱口令是什么?
弱口令,即弱密码(Weak passwords),是指容易破译的密码,多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名、终端设备出厂配置的通用密码等都属于弱密码范畴。我们的日常生活中已经离不开多种多样的密码使用,例如手机密码、银行密码、QQ密码、微信密码、邮箱密码等等,弱密码很容易被他人猜到或破解,所以如果你使用弱密码,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。
二、弱口令有什么危害?
弱口令的危害性比想象中要大得多,对于实体银行卡被盗,弱口令被猜出,户主损失大量的钱财;对于个人电脑或工业主机,弱口令意味着容易成为黑客的肉鸡,成为他们进行不法行为的跳板或僵尸网络的一部分,甚至电脑资料泄露,感染病毒,造成严重损失;信息系统、网站和虚拟机的管理员采用弱密码、默认密码和通用密码,或者长期不进行修改,容易被黑客使用暴力破解软件直接破解本地密码,导致服务器被黑客控制,成为他们进行不法行为的跳板或僵尸网络的一部分,或服务器内部资料泄露,造成群体性危害事件等。
三、弱密码的性质
(一)从防御角度看
传统意义的弱密码是指:密码设置口令单一或密码长度较短,容易被破译的密码。这一类密码通常具有以下几项特征:
1.简单的数字组合
2.号加数字的组合
3.键盘上的临近键
4.出厂配置的通用密码
常见的弱口令有:
1.简单数字组合:000000、111111、11111111、112233、123123、123456、12345678、654321、666666、888888。
2.顺序字符组合:abcdef、abcabc、abc123、a1b2c3、aaa111。
3.临近字符组合:123qwe、Qwerty、qweasd。
4.特殊含义组合:admin、password、p@ssword、passwd、Iloveyou5201314。
(二)从入侵角度看
黑客利用弱密码进行破解时,通常手段是使用密码库。那么密码库是如何构建的呢?
黑客密码库=(简单密码+历史密码+社工密码),如:
1.简单密码:即我们上文提到的常用弱密码如123456、abc123、root等;
2.历史密码:之前已经被泄露的个人密码、网上流传的密码字典库;
3.社工密码:个人相关信息如:名字拼音、手机号、出生日期、邮箱号、QQ号等。
因此,为了防止密码被非法破解,我们应该尽量避免使用黑客密码库的中的密码。如果系统帐号或其他网络帐号采用上述“弱密码”,很会容易被黑客利用密码字典自动“蒙中”,从而造成个人隐私信息泄漏甚至财产损失。
四、密码复杂度要求
(一)密码设置注意事项
1.不使用空密码或系统默认的密码,因为这些密码众所周知,为典型的弱密码;
2.密码由8-15个字符组成,区分大小写;
3.密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个;
4.密码不包含4个重复的数字或字母;
5.密码不包含4个连续的数字;
6.不可以使用之前5次旧密码;
7.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词;
8.不要长期使用固定密码,应定期或者不定期修改密码;
9.不要在多个场合使用同一个密码,应为不同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个账户密码被盗,其他账户密码也被轻易破解;
10.不把密码保存在电脑、U盘、笔记本、书籍等上面。
(二)避免使用的弱密码组合:
1.规律字符组合:abcdef,abcabc,ABCdef,Vipshop123等;
2.禁用邻近键盘字符组合:qwertyui、ZAQ!xsw2、3EDC4rfv、6yhn7UJM等;
3.禁用公司关联字符组合;
4.禁用账户姓、名字符组合:liwei@2017,liu1!@#等;
5.禁用特殊含义字符组合:password,passw0rd,p@ssw0rd,admin1234等。
五、密码设置与管理建议
(一)根据账号重要程度设置密码
根据账号重要程度和网站知名程度,应该分别设置通用密码和重要密码。
(二)设置通用密码但不相同
为防止通用密码被“撞库”攻击,又避免过多的密码容易遗忘,建议在设置密码时采用“通用密码”+“自设标志”的习惯方式进行。
(三)密码设置建议
如何设置密码才比较安全和便于记忆呢,推荐大家可以用自己喜欢的单词、数字、特殊字符等,创建自己独有的一种编码缩写形式,采用混合组合方式创建。
(四)养成手动进入网站的习惯
在收到短信、邮箱等信息提示,要求登录某网上银行等重要系统账号,并附带登录链接地址时,应该避免直接点击信息中的链接进行登录,建议通过自行输入官方网站链接地址进行登录。