2011年,外国网友 Momo Estrella 所在的公司强制要求员工每30天修改一次密码,并且必须包含至少一个大写字母,一个小写字母,一个特殊字符和一个数字。当时 Momo 小哥正好离婚,沉浸在悲伤中难以自拔。
那是一个周二的早上,Momo 没有吃早饭,大汗淋淋跑到办公室,还是迟到了。他急匆匆打开电脑,屏幕上突然弹出来“你的密码已到期,请修改密码”的提示,输入框的光标在不停地跳动,Momo 内心是奔溃的,都迟到了,还要改密码!
不过,就在这一刻,他突然又有了一种想要改变自己的冲动:这可是一个要连续输入30天的密码,每天还不知道要输多少遍,我要试试增强版密码,把代办清单和密码结合起来!我要用一个密码来改变我的生活。
于是,Momo 改了第一个非常有意义的密码:“Forgive@h3r”(原谅她)。离婚后的 Momo 一直浑浑噩噩,几乎没做成任何事。他希望这个密码能够成为一种好的心理暗示,提醒自己原谅前妻,接受婚姻结束的事实,拥抱新的生活。
没想到的是,一个月后,他真的从离婚的失落与痛苦中走出来了。尝到了甜头的 Momo 小哥,紧接着继续把想做的事情,变成了一连串不同的密码。下面是他在两年里用过的密码,目标之丰富,成功率之高,堪比励志电影照进人生:
- Forgive@her (原谅她)← 致我的前妻,让我开启了这段旅程。
- Quit@smoking4ever (戒烟)←成功。
- Save4trip@thailand (存钱去泰国旅行)← 成功。
- Eat2times@day (一天吃两顿)← 没用,因为还是胖。
- Sleep@before12 (12点前要睡觉)← 成功。
- Ask@her4date (邀她约会)←成功。又恋爱了。
- No@drinking2months (2个月不喝酒)← 成功。感觉很好!
- MovE@togeth3r (和女友一起住)← 成功。
- Get@c4t! (养一只猫)← 成功。养了一只漂亮的喵星人。
- Facetime2mom@sunday (周日和妈妈视频)← 成功。每周都和妈妈聊天。
- Save4@ring (攒钱买戒指)← 人生又要进入新篇章了。
最后小哥成功买了戒指,女朋友也答应了他的求婚。改密码给他的生活带来了巨大的改变,于是他调整了策略,每个月都要改一次密码,通过密码,提醒自己进入下一个专注的阶段。
通过密码改变人生可能是小概率事件,但花心思换掉手上的弱密码,守护好你的钱包,绝对稳赚不赔。
有数据显示,使用破解的服务器集群,每秒可以尝试3500亿次,这个速度破解6位的密码,只要4.08秒,7位密码的时间是6.47分钟,8位密码需要10.24小时,9位密码需要40.53天,而10位密码需要10.55年。
一句话来总结,高强度的密码能够成为每个人的安全防线,而弱密码只能让你的账号裸奔。
弱密码有多弱
在开启讨论之前,希望和你能够达成一个共识:我们所说的“密码”其实不一定都是密码,可能是口令。
口令和密码有区别
当你输入一串字符,如果不经过任何处理直接送到服务器进行验证,它一定不是密码(cipher),只是一个口令(password)。如果输进去的字符,通过密码运算得出另外一个结果,那么这个结果可以验证你是否是合法的用户时,这个口令就变成了密码。
最典型的密码,就是“凯撒密码”。凯撒大帝在带兵打仗的时候,给手下将领传达口信经常会被敌军截取或者遭内鬼泄露。于是他想了一个加密的方法,把字母向后偏移3位,这也就是最原始的“凯撒密码”。
举个例子,凯撒大帝传递了一句 “I love u” 的口信,结果却变成了 “LORYHX”,然后把这个看上去像是乱码的口信传递出去,并将加密的方法告诉告诉手下的将领们。
而我们日常登陆的网站、微信、电子邮箱、银行取款的“密码”,严格意义上来说应该是进入个人设备的口令,是一种身份认证手段,不是真正意义上的“加密代码”。
好的,科普结束。你可以继续以你熟悉的方式称呼这些字符。但无论是口令,还是密码,好像并不会改变人们对于弱密码的喜爱。翻一翻近几年的“最烂网红密码”,123456几乎每年都是使用人数最多的烂密码,成为烂密码堆里的最强王者。
安全服务机构 Splashdata 每年公布的烂密码排行榜,如有雷同,请记得修改
更让人无法相信的是,2018年乌克兰独立新闻社披露,乌克兰武装部队的“第聂伯罗”军队自动化控制系统的服务器密码居然是“123456”,用户名更是默认的 “admin”。
事情真假不论,但人类大脑的懒惰程度应该是已经超出了黑客的认知。为了唤醒人们对密码安全的意识,增强隐私保护,2019年10月26日,《中华人民共和国密码法》审议通过,自2020年1月1日期施行。《密码法》明确规定,任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
坏人是如何利用弱密码的
根据资料显示,超过70%的密码泄露是来自黑客入侵、软件漏洞等技术手段获取到的数据。其次这些账号密码信息才是通过内部人员泄露、出售数据非法牟利等非技术手段产生的泄露。也就是说,企业数据库泄露已经成为了当前密码被盗的最大诱因。
我们的账号密码是如何经由企业被盗取的?密码太弱,又是如何给黑客“制造发财机会”的?想了解这些,我们得先知道黑客攻击的不同招式。
首先是“暴力破解”,也叫“密码爆破”。黑客会通过穷举一定长度的字符组合,对每个账号挨个尝试,进行破解。为了提高成功率,黑客会结合人们用姓名缩写、生日、手机号组合的习惯,将英文单词、短语以及数字进行组合,或者将已经破解了的密码进行编辑,建立一个“密码字典”,通过密码字典一一破解。像123456、qwert 这样有规律的简单密码,只需不到1秒就能破解。
为了增加密码被破解的概率,黑客还会尝试另外一种破解方式——“密码喷洒”,就是先构建或者寻找某个平台的所有账号,之后再构造一个所有能够构造的常见“密码词典”,通过专业的工具,用一个密码,逐一对所有的账号进行登录,所有的账号尝试失败后,继续换第二个密码,如此反复,直到账号破解成功。
借助“暴力破解”或者“密码喷洒”,黑客就基本打开了“快速暴富”的大门。他们放弃挨个账号破解这种投入产出太低的方式,直接通过入侵企业的网站服务器,窃取存储用户数据的数据库,一次获取数百万甚至数千万人的信息,在业内被称为“拖库”。网站数据库一旦被攻陷,如果网站服务器上的密码都未经过二次加密,以明文进行保存,密码就将直接暴露在黑客面前。
在拖库之后,黑客会进行“洗库”,也就是将有价值的个人信息通过黑色产业链层层利用进行变现,他们会依次盗取你的网游装备、Q 币、把你的个人身份信息与手机号信息变卖给第三方垃圾广告公司,全方位榨取价值。
事情还没结束。如果你在不同的网站使用的都是同一套密码,你的风险值又增加了好几倍。黑客会进行“撞库”,就是拿着你的账号密码,尝试批量登录其他网站,搜集更多的个人信息,你的各种个人记录也会被一点一点扒出来。黑客顺理成章地,成为了这个世界上,比你妈还要了解你的人。
最后,你还有一点能被利用的价值。黑客会将破解的密码数据库,进行出售或者交换,形成庞大的“社工库”,你的个人信息连同其他人的信息会被打包出售,在各个地方流转售卖,所以你的密码被盗,也就不奇怪了。
在整个过程中,如果企业员工安全意识不强,随意点击钓鱼邮件或者钓鱼链接,账户密码属于“废铁级”的弱密码,那一定是黑客成功窃取数据的绝佳辅助。
如何做好弱密码管理,降低泄露风险
对于企业而言,弱密码一直是网络安全的重大隐患。原因在于,网页管理、内网终端、服务器登录等操作,是员工弱密码的重灾区,最容易被黑客利用。不过大多数企业一般也都讲武德,针对密码数据库都会使用一种 MD5 的信息摘要算法(哈希算法)。通过将用户密码散列成32位字符的方法,再加上 salt(俗称加盐)进行双重加密,最终你在平台上存储的密码就变成了另外一个新的没有任何规律的密码。
一些网站还会使用 SHA-256、SHA-512、bcrypt 等安全性更高的加密方式,进一步提升网站数据保护的安全强度。
不过这还不够,因为这些只是给原始密码加了密,属于常规输出。企业需要建立完善的安全监控体系和应急事件响应措施,及时发现,快速处理。对于自身存在的登录入口风险、弱口令风险,企业得主动进行风险监控和防御,而不是等到数据库被拖走了,才后悔没给员工进行安全意识培训,没多安排几个运维 7x24 小时监测。
主动预防弱密码风险,具体的实现过程也很简单,国内早已有了成熟的威胁检测工具。比如,通过微步在线的威胁感知平台 TDP,能够对企业的资产和风险进行检测。如果出现登录入口的密码爆破,密码喷洒、撞库以及网络内部的弱密码,可以实时进行检测识别,做好弱密码安全保护工作,及时响应。
此外,人员安全意识是企业安全的另外一个重点。通过加强信息安全意识培训与宣传,禁止弱密码存在,保证内部口令定期更换,避免钓鱼链接、钓鱼邮件、机密邮件外发、互联网外传等无意识泄密事件,能够为企业进一步降低安全风险。
对于个人而言,虽然记住不同的密码有点难,但都1202年了,你居然还在用123456789作为你的密码,就是你的不对了。这里给你分享一个安全、好记的密码设置和管理方法,求求你以后别总用123456当密码了。
设置强密码方法:六步密码
- 密码不能过短,最好大于8位数;
- 使用一句话的缩写作为基础密码,比如“你吃了吗”的缩写 “nclm”
- 加上数字让基础密码更复杂,密码增强,例如 “nclm2021”
- 加上符号进行强化,密码变为“?nclm2021”
- 使用大小写进一步强化密码,变为 “?nClm2021”
- 创建一个规则,能够在不同的网站使用不同的密码,例如微信+密码,密码就是 “wx?nClm2021”,或者密码+@网站,就是 “?nClm2021@WX”
这个六步密码设置法足以让你拥有一个强大的密码,甚至还能将大小写的位置调整,将密码用其他字符或英文词汇替换,增加密码复杂程度。设置完密码只完成了第一步,还有一个更重要的工作:密码管理。
首先,针对密码要进行分级。网上银行、网上支付、聊天账号等重要账号单独设置密码,不同重要级别账号设置不同账号,永远不要搞“万能密码”;其次,定期修改密码,比如三个月修改一回;再次,不要公开自己使用的密码及其构建的模式,也不要使用公开的密码以及公开的密码模式。
比如,像下面这些密码虽然很优秀,但已经不能使用,以及我推荐的这个“六步密码”也不能完全照抄使用。
网红趣味密码,但都不能用了
如果你真是懒得记,也记不住太多复杂的密码,那只能推荐你选择一个安全的密码管理器了。它可以为你生成不同平台的密码,不同难度的密码,并且对密码进行加密存储,放置在单个文件内。你唯一需要保密与记住的,就是打开密码管理器文件的主密码,并且保证无论如何都要记着这个密码。
另外,手机验证码其实是最安全的,所以尽可能使用平台提供的两步认证方式登录,如短信验证码、挑战令牌等。在公共区域使用电子设备进行账户登录时,不要点击保存密码。
重要密码还是记在脑子里吧
最后,一首小诗送给大家,欢迎时常诵读:
口令组合千万条,一二三四不能要。
大小字母都要有,数字符号不能缺。
一令通用不可取,八位以上更安全。
禁用弱密码,从你我做起,S4f3ty_f1rst!(安全第一!)
