一、你的密码安全吗?
密码的运用,自古有之。武侠片、谍战片中总是少不了对暗号认身份的情节。而在当今互联网世界,这种身份验证的暗号变成了以用户名和密码鉴权。通过“密码”这把钥匙,就可以进入各类应用系统,打开其中属于你自己的空间,密码的重要性可想而知。
二、什么是弱密码
一般来讲,密码的强度分为三种,即弱/中/强三级。
1.弱密码
组成结构简单,也容易被破解,特点是密码位数少,表现单一,也容易记忆。例如123456、88888这样的密码。
2.中密码
一般为“字母+数字”“单词+数字”等形式。与弱密码相比,其复杂度较高出一截,被破解的概率也有所降低。但是,许多人出于方便记忆的考虑,会将密码设置为姓名简称和生日的组合。这些特定信息一旦被居心叵测的人掌握,有很大的可能会被破解。
3.强密码
一般为“大小写字母+数字+特殊符号”形式。其构成较为复杂,通常都大于8位,且不容易记忆。因此,破解难度较大,安全性较高。
由上可知,弱密码就是组成相对简单的,容易被猜测到或被破解的密码。弱密码就好比一扇纸做的门,空有样子,保护能力却非常弱,“劫匪”想要进门盗窃,就显得易如反掌。
下面是几种常见的弱密码,看看你是否中招了。
1.空密码或系统缺省的密码:例如 111111,88888,123456;
2.单纯数字组合:例如 123456789,身份证号码截取,生日或纪念日期截取;
3.单纯字母组合:例如 姓名拼音;
4.较为常见的字母+数字组合:例如 a123456789,woaini1314,qq123456,abc123456。
三、弱密码的危害
不法分子很容易就可以通过对弱密码的破解,登录目标网站发布有害信息,将原本作为宣传窗口的网站,变为互联网黑灰产业链的一环,甚至成为实施涉网违法犯罪的网络节点。
当不法分子获得了你的密码后,危害随之而来。
1.个人及企业内部隐私信息泄露
2021年9月,贵州省贵阳市开阳网安大队在对属地网站开展巡查工作中发现,辖区某旅游公司网站存在站点弱口令漏洞。旅游公司掌握着许多旅客个人信息,一旦这些信息被不法分子盯上,利用弱口令漏洞进行盗取后从事违法犯罪活动,后果将不堪设想。
此外,通过破解弱口令进入企业内部系统(如OA,财务系统等),可以轻易获得企业内部信息资料。
2. 利用被盗账号,进行非法操作
弱口令被攻破后,不法分子通过后台登录被盗账号,可以对应用系统进行非法操作。如在网页中挂马,甚至转走账户资金等。
3.侵入计算机,调用实时监控
利用被盗账号,侵入计算机,监控别人的一举一动,甚至可以看到“潜规则”。
下面我们通过几个案例来了解一下弱密码泄露的危害。
案例一:深圳市东鹏饮料实业有限公司SSL VPN登录网站因设计不当,在可以不通过验证码的情况下,取top500姓名作为用户名,123456作为密码,最终用zhangyong的用户名,入侵该系统。幸好,该系统最后在做等保测评时,发现该漏洞,否则一旦被外网用户发现,后果不堪设想。
案例二:2019年5月初,上海市民王先生至派出所报案称其在上班时发现手机遗失。原来,4月底违法人员吴某在一商城内以200元的价格购得被盗的手机,多次尝试最终竟成功解锁手机密码,通过手机登录王先生的支付宝APP消费436元。
案例三:2021年8月,江西上饶鄱阳县公安局网安大队侦破了一起涉及网络安全的案件。民警发现有人在网上售卖大量已经破解的摄像头,通过这些摄像头可以偷窥许多家庭隐私,如同现场直播,而受害人则一无所知。
四、如何设置和管理密码
为了保护我们的隐私,在设置密码时,弱密码是坚决不可取的!强密码是必须的!
此外,设置密码还应尽量遵照以下原则:
1.密码长度不小于8个字符;
2.密码不应该为连续的字符或重复某些字符的组合,例如:AAAAAAAA,888aaa;
3.密码应该为以下四类字符的组合:大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符,每类字符至少包含一个;
4.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词;
5.至少90天内更换一次密码,防止被未发现的入侵者继续使用该密码;
6.在笔记本或其它地方不要记录密码、不向他人透露密码,离开电脑前时请确认已关闭或锁定电脑;
7.多个账户之间尽量使用不相同的密码;
8.在电脑使用中,不要选择程序中可保存密码的功能选项。
无论我们的做法如何规范,都无法绝对保证密码不被破解,但是能够遵照上述的建议,基本上可以将被破解的风险降到最低。
此外,中国独创的汉字密码在部分网站已经开始应用,汉字密码将会比目前的密码规则更为安全,我们也期待汉字密码得到更多的普及和应用,从而进一步保护我们的隐私安全。