Hi,问你一个小问题。你的图灵社区登录密码是什么?
我猜,它是不是与你的邮箱、微博、QQ、微信、网银等网络账号的密码一致?
是不是与你(或家人、朋友)的姓名、生日、手机号、车牌号、门牌号、纪念日有关?
是不是就是用户名?
甚至是123456?!
OMG!我多么希望我猜错了。事实上,很多人都反复使用相同的密码,而且密码还很容易猜测,完全不需要什么技巧。
你的密码并不安全
网络安全公司BitDefender曾进行过一项研究,分析了25万多名用户使用的密码。研究结果令人震惊:75%的用户邮箱和社交媒体账号使用的是同一个密码。完整的文章参见www.securityweek.com/study-reveals-75-percent-individuals-use-same-password-social-networking-and-email。
2009年,一名昵称为Tonu的黑客做了一项有趣的研究。通过获取某个流行社交网站近期弃用的URL,他伪造页面,对试图登录的人进行了记录。不过他这样做并没有什么恶意。
研究结果可见www.social-engineer.org/wiki/archives/BlogPosts/MenAndWomenPasswords.html。
其中的一些信息甚至令资深的社会安全专家也难以置信。在734 000人中,有30 000人使用自己的名字作为密码,约14 500人使用他们的姓氏作为密码。更惊人的是下面的统计数字,最常使用的8个密码如下表所示。
密码 | 性别 | 用户数 |
123456 | 男 | 17 601 |
password | 男 | 4545 |
12345 | 男 | 3480 |
1234 | 男 | 2911 |
123 | 男 | 2492 |
123456789 | 男 | 2225 |
123456 | 女 | 1885 |
qwerty | 男 | 1883 |
17 601位男性使用的密码是123456!
真是令人大跌眼镜啊。
如果这还不够令人震惊,再看看Tonu公开的统计数据吧:66%以上的用户都使用密码长度为6~8个字符的弱口令。
弱口令通常非常短,只使用数字和字母字符,或者很容易被别人猜到的内容如生日、昵称、住址、宠物或家人的名字。尽管如此,密码破解在我们普通人看来也是件难事,但是黑客借助密码破解工具如Cain and Abel(如下图所示,图不是很清楚,请多多包涵),破解这些弱口令简直易如反掌。
破解弱口令只需要3天
请注意上图密码破解工具中剩余时间栏(Time Left)写着3.03909天。对大多数黑客来说,3天就能获得服务器的访问权限算是短的了。
如何提高密码安全系数
请再看下面这幅图。如果同一个用户使用14~16个字符的密码,其中包含字母大小写和非字母字符,破解密码所需要的时间就不是一般地长了。
大家可以看到,剩余时间栏已经变成几万亿年了。
超过5万亿年够长了吧?仅仅将密码长度增加到14位,并使用一些非常用字符(即*、&、$、%和^),再加上大小写,足以将我们的密码安全系数大大提升啦。因为想通过暴力破解获得密码几乎是不可能的。
密码安全只是信息安全中微不足道的一小步,想要真正的安全,我们需要360度全方位防范。欲了解更多有关信息安全的信息,请持续关注《社会工程:安全体系中的人性漏洞》。