撞库:你弱密码就这样被破解了

在网络安全越来越重要的今天,仍然有很多人选择使用生日日期作为自己的密码,或者是123456、qwer1234之类的弱密码,我们今天的主题就是密码安全和我们息息相关的那些事。

撞库:你弱密码就这样被破解了
弱密码

首先我们了解一个概念,什么是弱密码,在维基百科上,对弱密码的定义是易于猜测的密码,事实上,弱密码其实就是那些基于公开/半公开信息而建立的密码,比如你的名字,你的生日,你们的结婚纪念日,你孩子的生日等等。而这些公开/半公开的信息其实是很容易被别有用心的人获取,至于为什么,等下会讲到。

我们来看一看一些常见的弱密码:

123456

a123456

123456a

5201314

111111

woaini1314

qq123456

123123

000000

1qaz2wsx

1q2w3e4r

qwe123

7758521

无论什么时候都应该避免使用弱密码,因为这些密码实在是太多人使用了,用这些密码跟裸奔几乎没什么区别。

密码是怎么泄露的

很多人会非常奇怪,我使用的密码是是自己的生日+名字等混合起来的,或者是是非常复杂的密码,为什么会被盗?

首先,很多账户被盗事件,都不是针对个人的行为,而是在大规模的洗库操作中被批量攻击了账号,而这些批量攻击的目的,是为了攫取利益,我们来举一个例子。

小A是一个程序员,很久以前他在CSDN注册了一个账号,使用的是自己常用的密码a123123,而他在网易邮箱也注册有一个账号,他为了玩魔兽世界,用这个邮箱注册了战网通行证,我们看一下会发生什么事情。

1.CSDN被入侵。

2.CSDN整个用户数据库被暴库。

3.CSDN使用明文保存了用户的密码。

4.入侵者编写工具,用CSDN的密码去批量对网易邮箱撞库

5.小A的网易邮箱因为使用了同样的密码而被攻破。

6.入侵者把攻破的邮箱密码记录起来,发放给下游。

7.下游拿到邮箱账号和密码的登陆权限,寻找可以获利的地方。

8.很快他们发现小A的魔兽世界账号有很多金币和资源并洗劫一空。

这是个基于真实案例的例子,可笑的是,网易邮箱后来也因为严重的漏洞而被暴库,在爆出的数据库里,它也用明文保存密码,那次事件后,网易邮箱引导大多数用户建立了手机短信二次验证。

这里我们不去深究他们为什么要用明文去保存用户的密码,小A损失的只是游戏里的虚拟资产,而很多人损失了实实在在的金钱。

这是一个真实存在的黑色产业链,所以不要奇怪为什么自己没有在不安全的环境中登陆过,账号却依旧被盗了,只要有利益,这些人什么事情都做得出来。

这还只是批量的密码盗窃,还有专门针对性的密码攻击行为,比如社会工程学攻击,攻击者可以根据你公开/半公开的信息直接猜出你的密码,上网越久,你在网上留下的痕迹也越多,而这些攻击者就是通过挖掘这些痕迹来攻击你的。

很可怕,是不是?

选择强壮的密码

很多人选择弱密码的一个重要的原因就是为了好记,或者怕自己记不住复杂的密码而丢掉账号,这其实是个误区。

撞库:你弱密码就这样被破解了
人的大脑不仅擅长于记忆规则的信息,对于不规则的信息其实也可以轻松记忆,只要不断地回顾、使用这些信息,要忘掉是件很难的事情。

选择一个类似于en12Kdlz;#sp1*cnc,zk!d这样毫无规律可言的随机密码,能大大增强你账号的安全性,但是我们的账号那么多,不可能每一个网站/app都记忆一个这样复杂的密码,对不对?放心,有办法的。

安全建议

1.使用至少16位长度的密码(密码越长,被遍历破解的难度越大)。

2.对于不同的网站/app使用不同的密码。

3.能够开启二次验证的网站/服务一定要开启二次验证(这里通常都是短信验证,虽然短信也是可以被攻击截取的,但这种针对性的攻击其实很罕见,普通人也遇不到,所以短信验证其实是目前非常行之有效的安全校验方式)。

4.随机生成密码,而不是基于自己的生日、名字等信息构造密码。

5.使用诸如keepass之类的密码管理工具对自己的密码进行统一管理(https://keepass.info/)。

6.对于不太重要的网站,直接使用chrome的密码工具生成并保存密码,这样在浏览器内,这些密码就能时刻保存并自动填充到密码框里了。

7.不要在微信/QQ等聊天工具里发送密码。

8.密码之所以叫做密码,是为了私密的使用,所以,不要和别人共享你的密码。

每个人都应该重视密码安全的问题,因为在网络空间里,这关系到你的数据安全边界,如果这个边界没有了,又被别有用心的人利用的话,那损失可就大了。

所以,拜托了,不要用自己的生日做密码,好不好?

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2466060800@qq.com 举报,一经查实,本站将立刻删除。