登录注册

一个300万年无法破解的密码

作者:lipeng0820 发布时间:2017-03-07 12:19浏览量:2503

试客签约作者:lipeng0820撰写,转载请注明出处

        几天前接到一个朋友的电话,说起某艺人邮箱账号被盗,关联支付宝账号被盗刷的遭遇……有时候我总是在想“这到底是个人疏于对密码的管理还是个别网站加密不严坑爹坑队友呢?现代社会密码无处不在,如何设置密码才能自己记得牢,加密又可靠呢?”


        想必自从有密码出现的那一天开始,人们就已经陷入了加密与破解的Battle,信息化如此发达的今天,这样的攻防斗争,已经从专业人士转移到了平民百姓阶层。黑客的目标也不单单是国家级和企业级的“大买卖”而开始走上了攻击普通网民的走量刷单。

        近年来,个人电子邮箱被盗导致机密信息外泄、设备账号被破译导致设备被锁数据丢失、数字支付账号被钓鱼导致财产损失、社交媒体账号被攻击导致恶意信息四处传播的案例略见不鲜。一把钥匙开一把锁的道理大家都懂,可一旦碰上被盗号这事儿,也不禁会纳闷儿:这只有我自己烂熟于心的密码是如何掉入他人手中的呢?

        这是一家安全加密公司2016年的调查报告,报告显示在被调查的1000万组密码当中,“123456”、“123456789”、“qwerty”荣获冠亚季军且蝉联了三甲席位,而像“123321”、“1q2w3e4r“、“123qwe”这些看似具有“迷惑性”、数字字母混合式的“复杂”密码也荣登了Top25榜单当中。


        可怕的是或许在榜单中你还看到了你的WIFI密码、手机密码、行李箱密码甚至电脑开机密码、银行卡密码吧!更可怕的是在被调查的1000万组密码样本中,榜单中这些密码的使用率占到了50%。对于黑客甚至菜鸟级的破解者来说,破解这样的密码易如反掌,甚至不需要额外的黑科技破解工具。

        而纵观这些密码,都有一个非常明显的特质:都是排列组合极为简单的“弱智密码”。可很多人都有过这样的抱怨吧“这么多乱七八糟的密码,这么长的位数,有些又不常用,不设置一个简单的密码我记不住呀!”

那么今天,就跟大家一起来看一下,设置一个什么样的密码又简单又好记还能做到坚若磐石般的安全可靠呢


        ★避免使用弱密码★

        那么告诉大家的第一点就是切记不要使用类似榜单中出现的弱密码,或者你可以理解成

        弱密码是:

       【在键盘上一横行一数行、或完全相邻且有规律排布的组合】

        比如:12345678,qwerty,1qaz2wsx等

       【密码长度6-8位的纯数字或纯字母组合】

        比如:13141314,abcdabcd等

       【你的生日数字组合】

        比如:20080808,因为使用专门针对生日数字组合破解的字典包分分钟可以破解成功。

       【你的姓名全拼或英文名】

        比如:xiaoming,steven这一类常拼音、英文组合

       【常见的6-8个字母的英语单词】

        比如:password,myname等常在嘴边且有可能被作为密码的单词

       【不要使用非知名厂商的“密码生成器”】

        有些密码生成器的算法极为简单,甚至只是从一组密码库当中“推荐”一个密码给你


        ★为何不能使用上面提到的这几类密码?★




        破解密码的方式大概可以分为两种,一种是高级黑客利用编程手段,直接杀入后台釜底抽薪,另外一种则是广大黑客的入门破解法——穷举破解,简单来说就是把可能的密码组合一一输入尝试,直到试出正确密码。而在这个过程中有一个叫做“密码字典”的东西,可以按照一定的规律生成一个庞大的待测密码库,利用这个密码库来进行穷举。而上面这些规律对于“密码字典”来说,可以算的上必备目录,且排在字典扉页上,破解起来速度快到穷举还没开始,就可以结束了。

        所以,诸如12345678这样的弱密码简直形同虚设。


        其实现在很多良心网站在你创建密码的时候会增加防弱密码限制,比如“至少8个字符”、同时包含“大写与小写字母”、至少一个数字、不可以使用连续三个相同字符、不可以使用包含用户名的字串、不可以使用身份证号码内连续的数字组合等等。

        估计看到这里有些朋友就暴走了,“这也不行!那也不行!那我还特么用什么?”

        淡定呀盆友,这不就是一个告诉你应该用什么做密码的小“科普”吗?


       ★如何创建一个铜墙铁壁般的密码★

        首先遗憾的告诉你,理论上不存在这样一个密码,因为账户安全不是你个人的事情,也不是你守口如瓶、小心翼翼就不会被破解的,但是下面的方法可以让我们最大程度避免密码被破译或泄漏:

       密码设置小建议:

       【不少于8位的字母(带大小写)、数字、符号混合】

比如:Wbo2017!

       【尝试使用$与S、0与O这类形式混淆符号、字母、数字】

比如:P@$$w0rd

       【不要一直将首字母设置为大写字母,给其他位置一个机会】

比如:sayhel1O

       【登录密码和支付密码不使用同一个,论坛类和金融类账户使用完全不同的密码】

        登录密码与支付密码最好不仅仅是混淆个别字母那么简单,而是完全使用不同的密码组合。比如登陆密码的组合信息与车牌号有关,支付密码则是一个神秘的纪念日。

       【避免使用姓名拼音+生日缩写】

        如果发生大量信息资料同时外泄的情况(如钱包丢失)就很容易被他人试推算出你的密码,比如小明用过的密码XM0401,xiaoming41,Ming0401…等等,在没有密码输入限制的情况下很快就可以通过为小明“量身打造”的密码字典攻破。就算要用,可以考虑使用其他家庭成员的呀~

       【绝对禁止在公共场所的计算机上使用“记住我的密码”功能】

        曾经在很多公共电脑上的浏览器中看到大量被保存的账号密码,无需破解,随便在下拉菜单中选择一个账号,密码就自动填上了,连穷举都省了,这也算是被害者的助攻吧。“记住我的密码”功能以及苹果、微软、谷歌账户中的“信任此计算机”功能一定只能在自己使用的电脑开启哟~


        那么前面说了那么多,如果按照以上的方法操作我们的密码就不会被破解了吗?

        非也!前面我们提到过,有时密码泄漏不怪我们自己保护不周,而是某些网站由于受到黑客的攻击而发生大规模泄漏事件,如著名的某SDN、某ahoo、某易邮箱被“拖库”破解事件,导致保存着大量账户密码的数据库被黑客获取。由于很多用户密码通用,获取一处,意味着获得了“全网通行证”,进而金融账号、智能手机账号、游戏账号接连被盗……

        2016年很多苹果手机用户就出现了设备莫名其妙被锁定,随后收到邮件被勒索赎金的案例。调查发现,受害者大都是由于苹果帐号密码与某邮箱帐号密码完全相同,而某邮箱当年遭遇了黑客大规模脱裤破解,从而导致Appid ID与邮箱同时失守。最终陷入数据丢失、设备无法使用、维权无门的处境……         

        血的教训告诉我们,除了要设置一个足够安全的密码之外,也要养成良好的密码管理习惯。


        ★增强版加密建议

        【有规律的在密码中混入网站名】

这样做既可做到密码唯一又能在密码泄漏后方便追查源头。比如:微博账户密码 P@$$word_wb、腾讯账户密码P@$$word_QQ、网易账户密码P@$$word_163 ,如果有一天你看到你的密码被黑客明文PO到了网上且结尾是_XX,那么不用说,这个锅XX网背定了!

        【每隔3个月(推荐)或半年更换一次密码】

如果你的账号经常在公共场合登陆或者登陆环境极度不安全的情况下,可以考虑定期更换密码,如果担心想不出那么多密码组合或者记忆困难,那么可以在更换时使用一定的规律,如每次更换密码将大写字母推后一位,或增加更换密码时当月的月份等。总之这个规律只有你自己知道就好了,这样可以避免大量的记忆密码带来的不便。

        【有条件使用两步验证、加密盾和二维码登录的可以选择这种加强方式】

Apple ID,Google account等现在增加了两步验证功能,除了输入密码外,你还需要一个随机码来辅助登陆。而QQ,微博账号则可以使用口令盾或App端扫描二维码的形式登陆,从而避免了输入和使用密码时可能引发的不安全隐患。


        ★城门失守,如何补救?

        正所谓“智者千虑,必有一失”,无论是主观原因的密码泄漏,还是客观上不可抗拒的“猪队友”网站,一旦发生密码泄漏,我们应该怎么做?当然,保持清醒和理智的头脑是应对一切突发事件的先决条件。

        【在申请账户时如需要填写的个人信息(生日、地址)、密保信息、绑定手机号应如实填写】

        很多时候当我们忘记密码的时候知道去使用登录框下面的“忘记密码”功能,然而有时候我们却会被自己挖的“坑”坑倒,随便输入的出生年月,随便输入的名字,随便输入的密保问题,可能会导致最后账号彻底没有找回的依据。

        【不要忽略来自短信和邮件的“异常登录”提醒,但也要加以甄别】

        现在位置我所遇到的AppleID被锁案例,很多都是忽略了黑客在登录账号以及修改账号时苹果发出的安全提醒邮件。当收到这样的邮件时应首先确认相关邮件发出方是否为官方。比如Apple的邮件是以noreply@***.apple.com,一定要确定后缀是苹果的官方域名哟~

        【得知账户出现安全风险后第一时间锁定账户或修改密码】

然后确认非钓鱼邮件之后,尽量不要通过邮件,登录到相关网站的安全设置页面先行锁定账号然后修改密码。手速越快,损失越小。

        【确认账号被盗后按严重程度尽快修改金融类、涉密类账号密码】

如果是关联的一系列相同密码泄漏,或者接连收到不同的风险提醒,要第一时间保护金融类和涉密类的密码,毕竟钱不是万能的,没有钱是万万不能的,黑客的主要目的无非图财而已。

        【涉及金融类第一时间报警在警方立案】

涉及金融类的密码泄漏如果已经产生经济损失,或者情况面临失控,那么就第一时间报警吧。但……根据经验少于2000元警察叔叔不予立案哟




        自古以来安全和方便就是一对相生相克的概念。就像每天你回到家觉得掏钥匙开门是一个很麻烦的事情。我们当然完全可以为了方便将门锁拆除,回家就像每次开电脑不输入密码一样方便,但那你家中的财产就有极大可能暴露给不法分子。而我们家里的锁,由早年的三环锁,换成了现在的防盗门锁不也是为了极大提高财产的安全性么?数字密码发展越来越复杂也是逐渐适应和保护越来越庞大的数字资产。

        防火于未然,任何情况下,都不要放松对密码的警惕心,此刻你花费10分钟看完了这篇文章,却有可能在无形之间让你节约下更多挽回损失的时间。

        愿天下无贼!

        最后附上一个验证密码强度小网站,截图中是我的密码强度:

       https://howsecureismypassword.net

        

        破解我的密码大概需要300万年

        300万年……什么感念?这是300万年前的我们——

「关注微博、微信公众号 @科技小白堂 更多密码安全防护小知识等你来Get√」

分享到

7

用户评论

登录之后,可以发表看法哦~

04-01 11:37 早儿2000/tp
谢谢,很实用的帖子!
03-13 14:41 尛飛魚
民用的不用这么高级别密码防护,没什么用,还容易忘记
03-13 09:26 蜜蜂
难度稍大的密码,结果自己更容易忘记。
03-13 14:40 尛飛魚 蜜蜂
这个是真的,人原来越来,事情越来越多,脑子越来越忘事,太复杂了,记不住了,你自己都解不开了就
03-13 14:41 iamfriday 蜜蜂
简易口令的原因不就是记不住复杂的么……
03-13 03:00 微信wlv1118
再久也没有三生三世吧、里面动不动就是几万岁
哈哈哈,要是碰上那些人,这个密码也危险……
03-09 15:05 境界的彼方
哈哈哈哈最后这个网站好玩啊 ~
来分享一下大家的密码需要多久才能被破解?
03-13 09:26 蜜蜂 lipeng0820
呵呵
03-08 15:54 qiao1970
防患于未然
03-08 10:48 iamfriday
话说这个300万年的密码,关键是…………好记么
03-13 09:26 蜜蜂 iamfriday
哈哈哈~
03-07 23:35 syau008
自己总是忘记密码
03-08 09:35 cscxyz syau008
现在手机银行、网上银行、支付宝、微信、各种电子钱包……都是需要登陆密码、支付密码,估计像楼主这样的,很多人会忘记密码。每次都会使用(忘记密码)功能,重新设置密码~~~
03-07 16:29 水之舟
密码尽量设置复杂一些。
03-07 21:41 lipeng0820 水之舟
嗯,这是一个好玩儿的悖论——对于有的朋友来说,复杂的密码记不住,记住的密码不安全蛤蛤蛤蛤蛤
03-13 09:27 蜜蜂 lipeng0820
哈哈哈哈
03-07 13:35 hsiao
推荐使用 开源免费的keepass
03-07 21:42 lipeng0820 hsiao
嗯,不使用其他软件记忆密码的原因在一楼回答了,总怕鸡蛋都在一个篮子里不安全
03-13 09:28 蜜蜂 lipeng0820
嗯~密码比金额还多~

lipeng0820 文章:34篇 达人