您知道全球最常用的密码有哪些吗?
您知道怎样设置密码不容易泄漏?
多个账号密码怎样管理呢?
网络时代的账号密码成为许多人心头的一块病痛。太复杂,容易忘记;太简单,容易破解!怎样高效设置密码、有效管理密码,成为现代人生活必须要面对的小难题。
邮件、网盘、手机APP处处需要账号密码,你的密码是还是最简单的123456或者生日吗?你的各个平台密码是通用的吗?网络时代又该如何设置自己的密码?
知名网络安全公司 Nordpass 每年都会做一个“年度密码排行榜”。
今年,他们对全球50个国家和地区最常用的200组密码进行了统计,再次排出了“2021年度密码排行榜”,以下是全球最常用密码前10:
有“111111”,却没有“000000”,0表示非常不服。再来看看中国最常用密码的前10是什么:
对照一下,上面有没有你的常用密码?另外,“woaini”竟然榜上有名,咱们中国人还是很浪漫的嘛。
除了常用密码排行榜,Nordpass 还制作了一幅“数据泄漏率地图”,按人均密码泄漏率高风险、平均风险及低风险三个维度,对他们调查的国家和地区进行划分。
你也许会好奇网络安全公司如何知道用户的密码还能做出统计数据。原因是近几年国内外互联网上用户数据库泄露的事件时有发生,这些用户数据库都会被在行业内部公开或者在暗网出售。一旦用户数据库被“拖库“,即使用户密码是被加密储存不能直接看到明文,专业人员依然有办法利用这些数据还原出明文的密码。这种情况下如果密码设置得过于简单,很容易被暴力破解(Brute-Force Attack)或者彩虹表(Rainbow-Table)破解。这也是为什么网络安全公司有办法做出用户密码的统计数据。
除了简单密码的风险之外,在多个网站使用相同密码同样存在很大的风险。只要有一个平台的密码泄露就会被撞库攻击,等于所有的账号全部泄露。所以不同的网站或者APP需要设置不同的密码以保障账号的安全。
如何设置一个安全的密码
一般来说密码设置得越长越复杂则越不容易被破解。一个复杂的密码需要包含大小写字母、数字和特殊字符,长度至少8位。为什么设置复杂密码能提高安全性,以长度6位的密码为例,如果只使用数字则有000000到999999一共100万种可能的密码,暴力破解是把所有可能的密码全部尝试一遍找到正确的密码。以主流智能手机的计算能力暴力破解6位的数字密码只需要几秒钟时间。如果增加了大小字母和特殊字符则6位密码的可能组合有6千亿种,进行暴力破解的计算量比纯数字密码的计算量提升了5个数量级。目前很多网站和 APP 对密码的复杂度都有强制要求,填写简单密码都不能完成注册流程。
如何管理多个账号密码
给不同的网站设置不同的密码会导致账号密码太多,难以记忆。传统的方式是用纸质笔记本记录密码。但是这样的方式管理大量账号密码时难以查询,不便携带,容易丢失。已经不在推荐使用之列。
近几年浏览器纷纷加入了密码管理的功能。浏览器的密码管理的优点是不需要安装额外密码管理软件就可以方便地保存和管理网站密码。Chrome 浏览器在绑定Google账号后可以在多台设备上共享密码库。但是浏览器的密码管理功能如果使用不当也存在一些安全隐患。例如电脑忘记关机后被未授权人员使用,利用密码自动填充功能登录网站访问到机密信息。或者在公共电脑上登录网站后在浏览器里保存了密码,让其他使用者在访问同样的网站时也能用你的账号登录。浏览器和密码管理功能的另一个问题是除了账号密码之外,并不能保存和账号相关的其他信息。对于个人来说浏览器的密码管理功能已经够用,但是对于公司来说还需要更专业的密码管理方案。
Password Safe 是一款免费的开源密码管理程序,最初只有 Windows版本。目前在安卓系统和 iOS 系统都有兼容客户端,可以方便地在智能手机上使用。使用 Password Safe可以保存不同平台或者网站的账号密码,对账号分组和增加备注。通过一个密码库主密码打开密码库并管理密码库,我们只要记住一个主密码就可以查看所有的保存在密码库里面的账号密码。Password Safe 本身没有提供多设备共享密码的功能,将 Password Safe 的密码库文件保存到网盘上即可实现多台设备共享密码。需要注意的是不要将网盘上的密码库文件共享给其他人。
付费的密码管理方案也有很多像 1Password, LastPass,这里就不一一介绍了。
双重认证成为越来越被接受的下一代密码管理方式
双重认证(Two-Factor Authentication)是一种比密码更安全的认证方式,例如接收短信验证码进行认证,或使用双重认证APP生成一次性密码进行认证。目前越来越多的网站和 APP 采用了双重认证以提高安全性。例如澳洲的政府网站myGov 默认使用密码和短信双重认证。相信在不久的将来,双重认证会变成大多数网站和 APP 的标准认证方式,会极大地提高账号的安全性。
在这里,还是要提醒读者,重要网站的密码管理遵循复杂原则,多个网站的密码管理遵循不统一原则。并且尽量不要和自己的生日、姓名挂钩。当然啦,如果实在不好记忆,可以采用最原始的手写记录方式。不过,一定要保存好原始版的手写纸哦。
