这些危险密码,你还在用吗?

2019-07-20 17:51:41

2018年2月到10月期间苹果手机用户大量AppleID和密码被盗,并出现大量人员被盗刷现金。经专业人士分析,这些AppleID被盗可能使用了撞库手段,只有弱密码才容易撞库成功

来源: https://www.toutiao.com/i6618446552551653892/

QQ、微信被盗,以好友名义借钱的事情屡见不鲜。2018年2月到10月期间苹果手机用户大量AppleID和密码被盗,并出现大量人员被盗刷现金。经专业人士分析,这些AppleID被盗可能使用了撞库手段,只有弱密码才容易撞库成功。

虽然现在不少互联网服务设置了两步验证和密码保护,这大大降低了密码被盗的可能,但还有很多用密码的地方无此功能。所以密码设置不当,轻则隐私泄露,重则资金受损。

本文介绍密码破解原理、如何设置安全的密码,以及如何管理密码。

一、 危险密码

以下这些密码都属于危险的弱密码,极其容易被破解:

1. 纯数字密码

如:生日、111111、123456、654321、666666、888888、123321、5201314,及其他纯数字密码。

2. 单词类密码

如:password、Apple、admin、meiyoumima(没有密码)、iloveyou,及其他类似的密码。

3. 顺序字母

如:Abcdefg、abc123、qwerty(键盘第一排字母)、qazwsx(键盘前两列字母)、a1b2c3、aaa111、123qwe,及其他类似的密码。

4. 密码和用户名一样

除了以上问题,很多人的密码还存在以下问题:

1. 密码长度小于8位

破解难度大大降低。

2. 所有账户的密码都设成同一个

只要知道你一个账户的密码,你所有账户全部沦陷。

上面几款有没有一款适合你?这样的密码基本 = 无密码,分分钟破解。你知道了破解软件的工作原理就知道什么样的密码是安全的。

二、 密码破解原理

密码破解软件破解方式常见有如下几种:一是字典破解、二是暴力破解、木马、钓鱼、社会工程学等。

1、字典破解

所谓字典破解,就是把常见的一些弱密码整理成一个清单(比如上面这些),破解软件挨个从清单中读取进行尝试,这种方式命中率极高,所需时间极短。

2、暴力破解

如果字典破解未奏效,就切换为暴力破解。所谓暴力破解,就是进行穷举测试。假如你是6位数字密码,则从0开始尝试,不行换1,再不行换2.......一直尝试到999999,最多只需尝试999999次就绝对可以猜出,按计算机的速度,分分钟搞定。所以纯数字密码极不安全。

3、木马、钓鱼、社会工程学

木马法,即通过各种手段在你电脑或手机安装后门程序,在你输入密码时直接获取你的密码。

钓鱼法,通过伪装成流行的网站,诱导你输入密码。如伪装成淘宝网,让你输入你的淘宝用户名和密码。你的密码直接被盗取。

社会工程学法,比较复杂,涉及面广。大概为利用社会学原理收集或诱导你泄露隐私的方法。

这些方法不是通过破解你的密码,而是直接获取。此三法的详细手段和防范措施,将在后续【隐私安全系列】文章中专门介绍。本文主要介绍如何防范字典破解和暴力破解。

三、安全的密码

1、高强度密码

什么样的密码叫高强度密码?就是密码中必须包含大写字母、小写字母、特殊字符、数字中的任意三种组合,长度不低于8位,最好10位以上的密码。如果你的密码包含大写字母、小写字母和数字三种字符的组合,位数达到8位,要爆破需要多少时间呢?一起算一算,大写字母共26个,小写字母26个,数字有10个,一共有62个。也就是说8位密码的每一位都有62种可能,8位一共有62的8次方种可能,等于218340105584896,如果1秒可以尝试1亿次,猜完需要25天。如果把8位密码加强为10位,需要266年。如再加上特殊字符,即89的10次方,需要近1万年。

2、密码太复杂我记不住怎么办?

好办!你可以选择你喜欢的一句话的首字母作为密码字母部分。比如取"横看成岭侧成峰,远近高低各不同"每个字的首字母hkclccfyjgdgbt,再把其中几个字母设置为大写,比如统一设置第一和最后一个字母为大写为,然后加上几位你容易记的数字,就成了HkclccfyjgdgbT7890。这样一个容易记的18位高强度密码,要穷举完需要5.8亿亿亿年。

3、不同账户设置不同密码

有人习惯于把QQ、微信、邮箱、理财账户等等的密码都设置为同一个,这是一个不好的习惯。假如你的其中一个账户密码被破,黑客就可以用这个密码打开你所有的账户。一个不注重隐私保护的人,你有哪些账户,别人早就一清二楚。你可能会说,一个密码我都记不住,还让我记多个密码,要我老命啊!其实不难,请往下看。

4、密码管理

密码太多记不住,使用安全的密码管理软件,管理你所有账户的不同密码。推荐KeePass密码管理软件,免费、开源、AES-256高强度加密、数据存本机。有人可能会担心,我把所有密码都放在这个软件里管理,万一被人把这个软件拿走并破解了那不是全完了?这个跟你家里的保险柜一样,只要保险柜足够坚固,就算被人搬走也打不开,那就是安全的。保险柜可以锯开,而要破解KeePass的加密数据,几乎不可能。

所谓开源,即软件代码是公开的,无论谁都可以到网上下载并对其代码进行审计,可以有效发现软件缺陷和避免软件后门,你也可以用你审查过的源代码自己编译成程序。所有密码保持在一个文件中,并对该文件高强度加密,只有通过主密码才可以打开资料库,你只需要记住这个强度足够的主密码。更牛的是,你还可以用一张图片或其他文件作为Key,加上主密码共同加密,安全性再高几个数量级,即使量子计算机也不一定能破解。即使有人知道了你的主密码,没有Key文件一样是没用的。资料库可以备份到邮箱或云盘,无论备份到哪里,别人都无法打开。

KeePass除了保存密码,还可以把敏感文件以附件形式添加到KeePass数据库中保存。

标签  QQ  密码  电脑  腾讯  苹果  软件  钓鱼  黑客  

这是一个专为移动设备优化的页面, 基于MIP(Mobile Instant Pages - 移动网页加速器)

完整版本:http://qisec.cn/a/10040

黑老头(hlaotou.com), 致力于个人隐私保护

14.948ms