信息化觀察網(wǎng)

如果讓你每個月改一次密碼，你能堅持多久？

2011年，外國網(wǎng)友Momo Estrella所在的公司強制要求員工每30天修改一次密碼，并且必須包含至少一個大寫字母，一個小寫字母，一個特殊字符和一個數(shù)字。當(dāng)時Momo小哥正好離婚，沉浸在悲傷中難以自拔。

那是一個周二的早上，Momo沒有吃早飯，大汗淋淋跑到辦公室，還是遲到了。他急匆匆打開電腦，屏幕上突然彈出來“你的密碼已到期，請修改密碼”的提示，輸入框的光標(biāo)在不停地跳動，Momo內(nèi)心是奔潰的，都遲到了，還要改密碼！

不過，就在這一刻，他突然又有了一種想要改變自己的沖動：這可是一個要連續(xù)輸入30天的密碼，每天還不知道要輸多少遍，我要試試增強版密碼，把代辦清單和密碼結(jié)合起來！我要用一個密碼來改變我的生活。

于是，Momo改了第一個非常有意義的密碼：“Forgive h3r”（原諒她）。離婚后的Momo一直渾渾噩噩，幾乎沒做成任何事。他希望這個密碼能夠成為一種好的心理暗示，提醒自己原諒前妻，接受婚姻結(jié)束的事實，擁抱新的生活。

沒想到的是，一個月后，他真的從離婚的失落與痛苦中走出來了。嘗到了甜頭的Momo小哥，緊接著繼續(xù)把想做的事情，變成了一連串不同的密碼。下面是他在兩年里用過的密碼，目標(biāo)之豐富，成功率之高，堪比勵志電影照進人生：Forgive her（原諒她）致我的前妻，讓我開啟了這段旅程。Quit smoking4ever（戒煙）成功。Save4trip thailand（存錢去泰國旅行）成功。Eat2times day（一天吃兩頓）沒用，因為還是胖。Sleep before12（12點前要睡覺）成功。Ask her4date（邀她約會）成功。又戀愛了。No drinking2months（2個月不喝酒）成功。感覺很好！MovE togeth3r（和女友一起住）成功。Get c4t!（養(yǎng)一只貓）成功。養(yǎng)了一只漂亮的喵星人。Facetime2mom sunday（周日和媽媽視頻）成功。每周都和媽媽聊天。Save4 ring（攢錢買戒指）人生又要進入新篇章了。

最后小哥成功買了戒指，女朋友也答應(yīng)了他的求婚。改密碼給他的生活帶來了巨大的改變，于是他調(diào)整了策略，每個月都要改一次密碼，通過密碼，提醒自己進入下一個專注的階段。

通過密碼改變?nèi)松赡苁切「怕适录?，但花心思換掉手上的弱密碼，守護好你的錢包，絕對穩(wěn)賺不賠。

有數(shù)據(jù)顯示，使用破解的服務(wù)器集群，每秒可以嘗試3500億次，這個速度破解6位的密碼，只要4.08秒，7位密碼的時間是6.47分鐘，8位密碼需要10.24小時，9位密碼需要40.53天，而10位密碼需要10.55年。

一句話來總結(jié)，高強度的密碼能夠成為每個人的安全防線，而弱密碼只能讓你的賬號裸奔。

弱密碼有多弱

在開啟討論之前，希望和你能夠達成一個共識：我們所說的“密碼”其實不一定都是密碼，可能是口令。

口令和密碼有區(qū)別當(dāng)你輸入一串字符，如果不經(jīng)過任何處理直接送到服務(wù)器進行驗證，它一定不是密碼（cipher），只是一個口令（password）。如果輸進去的字符，通過密碼運算得出另外一個結(jié)果，那么這個結(jié)果可以驗證你是否是合法的用戶時，這個口令就變成了密碼。

最典型的密碼，就是“凱撒密碼”。凱撒大帝在帶兵打仗的時候，給手下將領(lǐng)傳達口信經(jīng)常會被敵軍截取或者遭內(nèi)鬼泄露。于是他想了一個加密的方法，把字母向后偏移3位，這也就是最原始的“凱撒密碼”。

舉個例子，凱撒大帝傳遞了一句“I love u”的口信，結(jié)果卻變成了“LORYHX”，然后把這個看上去像是亂碼的口信傳遞出去，并將加密的方法告訴告訴手下的將領(lǐng)們。

而我們?nèi)粘５顷懙木W(wǎng)站、微信、電子郵箱、銀行取款的“密碼”，嚴(yán)格意義上來說應(yīng)該是進入個人設(shè)備的口令，是一種身份認證手段，不是真正意義上的“加密代碼”。

好的，科普結(jié)束。你可以繼續(xù)以你熟悉的方式稱呼這些字符。但無論是口令，還是密碼，好像并不會改變?nèi)藗儗τ谌趺艽a的喜愛。翻一翻近幾年的“最爛網(wǎng)紅密碼”，123456幾乎每年都是使用人數(shù)最多的爛密碼，成為爛密碼堆里的最強王者。

安全服務(wù)機構(gòu)Splashdata每年公布的爛密碼排行榜，如有雷同，請記得修改更讓人無法相信的是，2018年烏克蘭獨立新聞社披露，烏克蘭武裝部隊的“第聶伯羅”軍隊自動化控制系統(tǒng)的服務(wù)器密碼居然是“123456”，用戶名更是默認的“admin”。

事情真假不論，但人類大腦的懶惰程度應(yīng)該是已經(jīng)超出了黑客的認知。為了喚醒人們對密碼安全的意識，增強隱私保護，2019年10月26日，《中華人民共和國密碼法》審議通過，自2020年1月1日期施行。《密碼法》明確規(guī)定，任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統(tǒng)，不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動。

壞人是如何利用弱密碼的

根據(jù)資料顯示，超過70%的密碼泄露是來自黑客入侵、軟件漏洞等技術(shù)手段獲取到的數(shù)據(jù)。其次這些賬號密碼信息才是通過內(nèi)部人員泄露、出售數(shù)據(jù)非法牟利等非技術(shù)手段產(chǎn)生的泄露。也就是說，企業(yè)數(shù)據(jù)庫泄露已經(jīng)成為了當(dāng)前密碼被盜的最大誘因。

我們的賬號密碼是如何經(jīng)由企業(yè)被盜取的？密碼太弱，又是如何給黑客“制造發(fā)財機會”的？想了解這些，我們得先知道黑客攻擊的不同招式。

首先是“暴力破解”，也叫“密碼爆破”。黑客會通過窮舉一定長度的字符組合，對每個賬號挨個嘗試，進行破解。為了提高成功率，黑客會結(jié)合人們用姓名縮寫、生日、手機號組合的習(xí)慣，將英文單詞、短語以及數(shù)字進行組合，或者將已經(jīng)破解了的密碼進行編輯，建立一個“密碼字典”，通過密碼字典一一破解。像123456、qwert這樣有規(guī)律的簡單密碼，只需不到1秒就能破解。

為了增加密碼被破解的概率，黑客還會嘗試另外一種破解方式——“密碼噴灑”，就是先構(gòu)建或者尋找某個平臺的所有賬號，之后再構(gòu)造一個所有能夠構(gòu)造的常見“密碼詞典”，通過專業(yè)的工具，用一個密碼，逐一對所有的賬號進行登錄，所有的賬號嘗試失敗后，繼續(xù)換第二個密碼，如此反復(fù)，直到賬號破解成功。

借助“暴力破解”或者“密碼噴灑”，黑客就基本打開了“快速暴富”的大門。他們放棄挨個賬號破解這種投入產(chǎn)出太低的方式，直接通過入侵企業(yè)的網(wǎng)站服務(wù)器，竊取存儲用戶數(shù)據(jù)的數(shù)據(jù)庫，一次獲取數(shù)百萬甚至數(shù)千萬人的信息，在業(yè)內(nèi)被稱為“拖庫”。網(wǎng)站數(shù)據(jù)庫一旦被攻陷，如果網(wǎng)站服務(wù)器上的密碼都未經(jīng)過二次加密，以明文進行保存，密碼就將直接暴露在黑客面前。

在拖庫之后，黑客會進行“洗庫”，也就是將有價值的個人信息通過黑色產(chǎn)業(yè)鏈層層利用進行變現(xiàn)，他們會依次盜取你的網(wǎng)游裝備、Q幣、把你的個人身份信息與手機號信息變賣給第三方垃圾廣告公司，全方位榨取價值。

事情還沒結(jié)束。如果你在不同的網(wǎng)站使用的都是同一套密碼，你的風(fēng)險值又增加了好幾倍。黑客會進行“撞庫”，就是拿著你的賬號密碼，嘗試批量登錄其他網(wǎng)站，搜集更多的個人信息，你的各種個人記錄也會被一點一點扒出來。黑客順理成章地，成為了這個世界上，比你媽還要了解你的人。最后，你還有一點能被利用的價值。黑客會將破解的密碼數(shù)據(jù)庫，進行出售或者交換，形成龐大的“社工庫”，你的個人信息連同其他人的信息會被打包出售，在各個地方流轉(zhuǎn)售賣，所以你的密碼被盜，也就不奇怪了。

在整個過程中，如果企業(yè)員工安全意識不強，隨意點擊釣魚郵件或者釣魚鏈接，賬戶密碼屬于“廢鐵級”的弱密碼，那一定是黑客成功竊取數(shù)據(jù)的絕佳輔助。

如何做好弱密碼管理，降低泄露風(fēng)險

對于企業(yè)而言，弱密碼一直是網(wǎng)絡(luò)安全的重大隱患。原因在于，網(wǎng)頁管理、內(nèi)網(wǎng)終端、服務(wù)器登錄等操作，是員工弱密碼的重災(zāi)區(qū)，最容易被黑客利用。不過大多數(shù)企業(yè)一般也都講武德，針對密碼數(shù)據(jù)庫都會使用一種MD5的信息摘要算法（哈希算法）。通過將用戶密碼散列成32位字符的方法，再加上salt（俗稱加鹽）進行雙重加密，最終你在平臺上存儲的密碼就變成了另外一個新的沒有任何規(guī)律的密碼。

一些網(wǎng)站還會使用SHA-256、SHA-512、bcrypt等安全性更高的加密方式，進一步提升網(wǎng)站數(shù)據(jù)保護的安全強度。

不過這還不夠，因為這些只是給原始密碼加了密，屬于常規(guī)輸出。企業(yè)需要建立完善的安全監(jiān)控體系和應(yīng)急事件響應(yīng)措施，及時發(fā)現(xiàn)，快速處理。對于自身存在的登錄入口風(fēng)險、弱口令風(fēng)險，企業(yè)得主動進行風(fēng)險監(jiān)控和防御，而不是等到數(shù)據(jù)庫被拖走了，才后悔沒給員工進行安全意識培訓(xùn)，沒多安排幾個運維7x24小時監(jiān)測。

主動預(yù)防弱密碼風(fēng)險，具體的實現(xiàn)過程也很簡單，國內(nèi)早已有了成熟的威脅檢測工具。比如，通過微步在線的威脅感知平臺TDP，能夠?qū)ζ髽I(yè)的資產(chǎn)和風(fēng)險進行檢測。如果出現(xiàn)登錄入口的密碼爆破，密碼噴灑、撞庫以及網(wǎng)絡(luò)內(nèi)部的弱密碼，可以實時進行檢測識別，做好弱密碼安全保護工作，及時響應(yīng)。

此外，人員安全意識是企業(yè)安全的另外一個重點。通過加強信息安全意識培訓(xùn)與宣傳，禁止弱密碼存在，保證內(nèi)部口令定期更換，避免釣魚鏈接、釣魚郵件、機密郵件外發(fā)、互聯(lián)網(wǎng)外傳等無意識泄密事件，能夠為企業(yè)進一步降低安全風(fēng)險。

對于個人而言，雖然記住不同的密碼有點難，但都1202年了，你居然還在用123456789作為你的密碼，就是你的不對了。這里給你分享一個安全、好記的密碼設(shè)置和管理方法，求求你以后別總用123456當(dāng)密碼了。

設(shè)置強密碼方法：六步密碼

密碼不能過短，最好大于8位數(shù)；

使用一句話的縮寫作為基礎(chǔ)密碼，比如“你吃了嗎”的縮寫“nclm”

加上數(shù)字讓基礎(chǔ)密碼更復(fù)雜，密碼增強，例如“nclm2021”

加上符號進行強化，密碼變?yōu)?ldquo;？nclm2021”

使用大小寫進一步強化密碼，變?yōu)?ldquo;？nClm2021”

創(chuàng)建一個規(guī)則，能夠在不同的網(wǎng)站使用不同的密碼，例如微信+密碼，密碼就是“wx？nClm2021”，或者密碼+網(wǎng)站，就是“？nClm2021 WX”

這個六步密碼設(shè)置法足以讓你擁有一個強大的密碼，甚至還能將大小寫的位置調(diào)整，將密碼用其他字符或英文詞匯替換，增加密碼復(fù)雜程度。設(shè)置完密碼只完成了第一步，還有一個更重要的工作：密碼管理。

首先，針對密碼要進行分級。網(wǎng)上銀行、網(wǎng)上支付、聊天賬號等重要賬號單獨設(shè)置密碼，不同重要級別賬號設(shè)置不同賬號，永遠不要搞“萬能密碼”；其次，定期修改密碼，比如三個月修改一回；再次，不要公開自己使用的密碼及其構(gòu)建的模式，也不要使用公開的密碼以及公開的密碼模式。

比如，像下面這些密碼雖然很優(yōu)秀，但已經(jīng)不能使用，以及我推薦的這個“六步密碼”也不能完全照抄使用。

網(wǎng)紅趣味密碼，但都不能用了

如果你真是懶得記，也記不住太多復(fù)雜的密碼，那只能推薦你選擇一個安全的密碼管理器了。它可以為你生成不同平臺的密碼，不同難度的密碼，并且對密碼進行加密存儲，放置在單個文件內(nèi)。你唯一需要保密與記住的，就是打開密碼管理器文件的主密碼，并且保證無論如何都要記著這個密碼。

另外，手機驗證碼其實是最安全的，所以盡可能使用平臺提供的兩步認證方式登錄，如短信驗證碼、挑戰(zhàn)令牌等。在公共區(qū)域使用電子設(shè)備進行賬戶登錄時，不要點擊保存密碼。

重要密碼還是記在腦子里吧

最后，一首小詩送給大家，歡迎時常誦讀：

口令組合千萬條，一二三四不能要。大小字母都要有，數(shù)字符號不能缺。一令通用不可取，八位以上更安全。

禁用弱密碼，從你我做起，S4f3ty_f1rst!（安全第一?。?/p>