Hi,问你一个小问题。你的图灵社区登录密码是什么?

我猜,它是不是与你的邮箱、微博、QQ、微信、网银等网络账号的密码一致?

是不是与你(或家人、朋友)的姓名、生日、手机号、车牌号、门牌号、纪念日有关?

是不是就是用户名?

甚至是123456?!

OMG!我多么希望我猜错了。事实上,很多人都反复使用相同的密码,而且密码还很容易猜测,完全不需要什么技巧。

你的密码并不安全

网络安全公司BitDefender曾进行过一项研究,分析了25万多名用户使用的密码。研究结果令人震惊:75%的用户邮箱和社交媒体账号使用的是同一个密码。完整的文章参见www.securityweek.com/study-reveals-75-percent-individuals-use-same-password-social-networking-and-email

2009年,一名昵称为Tonu的黑客做了一项有趣的研究。通过获取某个流行社交网站近期弃用的URL,他伪造页面,对试图登录的人进行了记录。不过他这样做并没有什么恶意。

研究结果可见www.social-engineer.org/wiki/archives/BlogPosts/MenAndWomenPasswords.html

其中的一些信息甚至令资深的社会安全专家也难以置信。在734 000人中,有30 000人使用自己的名字作为密码,约14 500人使用他们的姓氏作为密码。更惊人的是下面的统计数字,最常使用的8个密码如下表所示。

密码 性别 用户数
123456 17 601
password 4545
12345 3480
1234 2911
123 2492
123456789 2225
123456 1885
qwerty 1883

17 601位男性使用的密码是123456!

真是令人大跌眼镜啊。

如果这还不够令人震惊,再看看Tonu公开的统计数据吧:66%以上的用户都使用密码长度为6~8个字符的弱口令。

弱口令通常非常短,只使用数字和字母字符,或者很容易被别人猜到的内容如生日、昵称、住址、宠物或家人的名字。尽管如此,密码破解在我们普通人看来也是件难事,但是黑客借助密码破解工具如Cain and Abel(如下图所示,图不是很清楚,请多多包涵),破解这些弱口令简直易如反掌。

enter image description here

破解弱口令只需要3天

请注意上图密码破解工具中剩余时间栏(Time Left)写着3.03909天。对大多数黑客来说,3天就能获得服务器的访问权限算是短的了。

如何提高密码安全系数

请再看下面这幅图。如果同一个用户使用14~16个字符的密码,其中包含字母大小写和非字母字符,破解密码所需要的时间就不是一般地长了。

enter image description here

大家可以看到,剩余时间栏已经变成几万亿年了。

超过5万亿年够长了吧?仅仅将密码长度增加到14位,并使用一些非常用字符(即*、&、$、%和^),再加上大小写,足以将我们的密码安全系数大大提升啦。因为想通过暴力破解获得密码几乎是不可能的。

密码安全只是信息安全中微不足道的一小步,想要真正的安全,我们需要360度全方位防范。欲了解更多有关信息安全的信息,请持续关注《社会工程:安全体系中的人性漏洞》