您知道全球最常用的密碼有哪些嗎?
您知道怎樣設置密碼不容易泄漏?
多個賬號密碼怎樣管理呢?
網絡時代的賬號密碼成為許多人心頭的一塊病痛。太複雜,容易忘記;太簡單,容易破解!怎樣高效設置密碼、有效管理密碼,成為現代人生活必須要面對的小難題。
郵件、網盤、手機APP處處需要賬號密碼,你的密碼是還是最簡單的123456或者生日嗎?你的各個平台密碼是通用的嗎?網絡時代又該如何設置自己的密碼?
知名網絡安全公司 Nordpass 每年都會做一個「年度密碼排行榜」。
今年,他們對全球50個國家和地區最常用的200組密碼進行了統計,再次排出了「2021年度密碼排行榜」,以下是全球最常用密碼前10:
有「111111」,卻沒有「000000」,0表示非常不服。再來看看中國最常用密碼的前10是什麼:
對照一下,上面有沒有你的常用密碼?另外,「woaini」竟然榜上有名,咱們中國人還是很浪漫的嘛。
除了常用密碼排行榜,Nordpass 還製作了一幅「數據泄漏率地圖」,按人均密碼泄漏率高風險、平均風險及低風險三個維度,對他們調查的國家和地區進行劃分。
你也許會好奇網絡安全公司如何知道用戶的密碼還能做出統計數據。原因是近幾年國內外互聯網上用戶數據庫泄露的事件時有發生,這些用戶數據庫都會被在行業內部公開或者在暗網出售。一旦用戶數據庫被「拖庫「,即使用戶密碼是被加密儲存不能直接看到明文,專業人員依然有辦法利用這些數據還原出明文的密碼。這種情況下如果密碼設置得過於簡單,很容易被暴力破解(Brute-Force Attack)或者彩虹表(Rainbow-Table)破解。這也是為什麼網絡安全公司有辦法做出用戶密碼的統計數據。
除了簡單密碼的風險之外,在多個網站使用相同密碼同樣存在很大的風險。只要有一個平台的密碼泄露就會被撞庫攻擊,等於所有的賬號全部泄露。所以不同的網站或者APP需要設置不同的密碼以保障賬號的安全。
如何設置一個安全的密碼
一般來說密碼設置得越長越複雜則越不容易被破解。一個複雜的密碼需要包含大小寫字母、數字和特殊字符,長度至少8位。為什麼設置複雜密碼能提高安全性,以長度6位的密碼為例,如果只使用數字則有000000到999999一共100萬種可能的密碼,暴力破解是把所有可能的密碼全部嘗試一遍找到正確的密碼。以主流智能手機的計算能力暴力破解6位的數字密碼只需要幾秒鐘時間。如果增加了大小字母和特殊字符則6位密碼的可能組合有6千億種,進行暴力破解的計算量比純數字密碼的計算量提升了5個數量級。目前很多網站和 APP 對密碼的複雜度都有強制要求,填寫簡單密碼都不能完成註冊流程。
如何管理多個賬號密碼
給不同的網站設置不同的密碼會導致賬號密碼太多,難以記憶。傳統的方式是用紙質筆記本記錄密碼。但是這樣的方式管理大量賬號密碼時難以查詢,不便攜帶,容易丟失。已經不在推薦使用之列。
近幾年瀏覽器紛紛加入了密碼管理的功能。瀏覽器的密碼管理的優點是不需要安裝額外密碼管理軟件就可以方便地保存和管理網站密碼。Chrome 瀏覽器在綁定Google賬號後可以在多台設備上共享密碼庫。但是瀏覽器的密碼管理功能如果使用不當也存在一些安全隱患。例如電腦忘記關機後被未授權人員使用,利用密碼自動填充功能登錄網站訪問到機密信息。或者在公共電腦上登錄網站後在瀏覽器里保存了密碼,讓其他使用者在訪問同樣的網站時也能用你的賬號登錄。瀏覽器和密碼管理功能的另一個問題是除了賬號密碼之外,並不能保存和賬號相關的其他信息。對於個人來說瀏覽器的密碼管理功能已經夠用,但是對於公司來說還需要更專業的密碼管理方案。
Password Safe 是一款免費的開源密碼管理程序,最初只有 Windows版本。目前在安卓系統和 iOS 系統都有兼容客戶端,可以方便地在智能手機上使用。使用 Password Safe可以保存不同平台或者網站的賬號密碼,對賬號分組和增加備註。通過一個密碼庫主密碼打開密碼庫並管理密碼庫,我們只要記住一個主密碼就可以查看所有的保存在密碼庫裏面的賬號密碼。Password Safe 本身沒有提供多設備共享密碼的功能,將 Password Safe 的密碼庫文件保存到網盤上即可實現多台設備共享密碼。需要注意的是不要將網盤上的密碼庫文件共享給其他人。
付費的密碼管理方案也有很多像 1Password, LastPass,這裡就不一一介紹了。
雙重認證成為越來越被接受的下一代密碼管理方式
雙重認證(Two-Factor Authentication)是一種比密碼更安全的認證方式,例如接收短訊驗證碼進行認證,或使用雙重認證APP生成一次性密碼進行認證。目前越來越多的網站和 APP 採用了雙重認證以提高安全性。例如澳洲的政府網站myGov 默認使用密碼和短訊雙重認證。相信在不久的將來,雙重認證會變成大多數網站和 APP 的標準認證方式,會極大地提高賬號的安全性。
在這裡,還是要提醒讀者,重要網站的密碼管理遵循複雜原則,多個網站的密碼管理遵循不統一原則。並且盡量不要和自己的生日、姓名掛鈎。當然啦,如果實在不好記憶,可以採用最原始的手寫記錄方式。不過,一定要保存好原始版的手寫紙哦。
