什么是弱密码呢?弱密码又会给大家带来哪些危害呢?
一、什么是弱密码?
弱密码(Weak passwords)即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名、终端设备出厂配置的通用密码等都属于弱密码范畴。
弱密码很容易被他人猜到或破解,所以如果你使用弱密码,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。
为了让大家更加通俗的明白弱密码,下面展示一些常见的弱密码。
二、常见弱密码
美国密码管理应用公司 Splashdata 发布「2018年度最弱密码」榜单,分析了 2018 年在互联网上泄漏的 500 多万个用户密码,最后统计出TOP100的结果。前25个最弱密码分别是:
序号 |
弱密码 |
序号 |
弱密码 |
序号 |
弱密码 |
序号 |
弱密码 |
1 |
123456 |
9 |
QWERTY |
17 |
123123 |
25 |
QWERTY123 |
2 |
PASSWORD |
10 |
ILOVEYOU |
18 |
MONKEY |
|
|
3 |
123456789 |
11 |
PRINCESS |
19 |
654321 |
|
|
4 |
12345678 |
12 |
ADMIN |
20 |
!@#$%^&* |
|
|
5 |
12345 |
13 |
WELCOME |
21 |
CHARLIE |
|
|
6 |
111111 |
14 |
666666 |
22 |
AA123456 |
|
|
7 |
1234567 |
15 |
ABC123 |
23 |
DONALD |
|
|
8 |
SUNSHINE |
16 |
FOOTBALL |
24 |
PASSWORD1 |
|
|
黑客经常用名人姓名、流行文化、体育术语和简单的键位排列组合来撞库盗号,因为他们深知很多人都在用容易记忆的密码,发布这份榜单,就是希望大家能够学会在网上自我保护。
那么应该如何正确设置一个安全的密码呢?下面给大家介绍下密码的设置原则。
三、密码设置原则
1.不使用空密码或系统默认的密码,因为这些密码众所周知,为典型的弱密码。
2.密码长度不小于8位。
3.密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。
4.密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。
5.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。
6.不要长期使用固定密码,定期或者不定期修改密码,防止未被发现的入侵者继续使用该密码。
7.不要在多个场合使用同一个密码:为不同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个帐户密码被盗,其它帐户密码也被轻易破解。
8.不把密码保存在电脑、U盘、笔记本、书籍等上面。
按照以上几条原则设置的密码就相对安全很多了,大家可能会说密码是安全了,黑客猜不到,可我也记不住啊?下面就给大家介绍下如何设置一个既安全又好记的密码。
四、密码设置建议
大家曾有过账号被盗的经历,而为此把密码改得五花八门,连自己都会忘记,那如何设置密码才比较安全和便于记忆呢,推荐大家可以用自己喜欢的单词-喜欢的数字排列-网站名称的前三个大写字母或者后三个大写字母,也可以找到一个生僻但又容易记住的短语、句子、歌词、书名或者电影台词都可以摘录,并创建它的缩写形式,其中可包括大写字母、数字和标点符号等。
以下列举4种设置安全密码的好方法,请您参考:
1.设置密码:Travel-777-Xiecheng
这样记:单词-数字-网站名称
2.设置密码:Hongliyuyulvliyuyulv
这样记:红鲤鱼与绿鲤鱼与驴
3.设置密码:wmyqxmjyqM*5
这样记:我们一起学猫叫 一起喵喵喵喵喵
4.设置密码:flzx3qcysyhl9t
这样记:飞流直下三千尺 疑是银河落九天
字母、数字、符号最好都要有这样设计出来的密码更安全。
好啦,大家已经学会如何设置安全的密码了,下面给大家介绍下为什么安全的密码不容易丢失以及密码丢失后又哪些危害呢?
五、密码是如何丢失的?
1.暴力破解
简单来说就是将密码进行逐个推算直到找出真正的密码为止。
2.碰撞Collision
碰撞是专门针对哈希码的,可以快速找到一个可能和原始密码完全不同的字符串,但是算出来的哈希值和原始密码算出来是一样的。
3.木马
是指通过特定的程序木马程序来控制另一台计算机。木马程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
4.拖库
拖库本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。
5.撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
六、弱密码的危害
2015年春运前夕震惊全国的12306数据泄露事件,传闻称黑客利用“撞库”手段获取131653条用户数据。通过对网络公开的泄露数据进行分析发现,弱密码无论在任何泄密事件中都具有举足轻重的地位,以下是安全爱好者对12306泄露密码的统计结果:
其中,密码中包含有 123 数字的,出现 11213 次 ;密码中包含有 520 数字的,出现 4549 次 ;密码中包含有 123456 数字的,出现 3236 次 ;密码中包含有 1314 数字的,出现 3113 次 ;密码中包含有 aini 的,出现 877 次。
以上只是众所周知的帐号泄漏事件,实际弱密码的危害性比想象中要大得多,对于实体银行卡被盗,弱口令被猜测,损失大量的钱财;如果是社交工具的弱口令被猜测到,如QQ,对于依赖网络的人来说简直痛不欲生,一方面是账号的丢失,另一方面是不法分子利用盗取的号码向原主的好友骗取钱财,故意挑拨关系,甚至故意发布不实言论,触犯法律,后果简直不堪设想。有报道称,家用摄像头成为别人的直播工具,个人和家庭隐私在网上大肆传播,很大原因也是因为摄像头的的弱口令导致的。
对于个人电脑或工业主机,弱口令意味着容易成为黑客的肉鸡,轻则成为他们进行不法行为的跳板或僵尸网络的一部分,重则电脑资料泄露,感染病毒,造成严重损失。