一项最近的研究表明,1%的密码可以在4次之内猜中。简单!尝试四个最常见密码。password,123456,12345678,和qwerty,这就打开了1%的大门。John the Ripper是一款免费的黑客软件,每秒钟能测试数百万密码。还有一款商业软件号称每秒能测试28亿密码。破解软件会运行一套穷举式的、时常更新的流行密码表,然后再是整个字典,包括所有的常见人名,昵称和宠物名。
几乎所有人的思维都会遵循那些早已被踏平的熟门熟路。如果网站要求你的密码里必须有数字,那password变成password1或者password123的频率会让你吃惊的。而要求你必须大小写同时出现的密码就会产生Password或PaSsWoRd。必须有特殊符号的结果则是password!和p@ssword。你以为$pider_Man1这种密码真的有看起来那么安全?
每个人都觉得自己很机智,最后都机智到一块去了。
之所以我们对这些愚蠢密码有所了解,很大程度上来自于2009年12月4日的RockYou.com安全漏洞事件,他们是一个Facebook游戏发行商。一位黑客公布了这个网站32603388位用户的账号名和明文密码。在RockYou.com里最受欢迎的密码是“123456”,使用者人数高达290731人。
不同年龄段和性别的人爱用的密码有很多差异,对于30岁以下的男性,许多受欢迎的密码来自性和秽语。年纪大的人(不分男女)更倾向于使用昔日流行文化里的老梗。
密码安全领域的每一项新方案最后不可避免都要招致冷眼旁观的专家的评论——在他们看来,任何常见的密码管理行为都是没用的。
许多专家奉行“写下来”的原则,“很简单,足以抵御住字典式攻击的长密码已经长到人们记不住的程度了,如果人们选取一个又长又复杂、完全记不住的密码然后写在纸上,那才算安全。”这是咨询家布鲁斯•歇奈尔(Bruce Schneier)在2005年写下的,在数字时代这简直是上古先知了。“我们都很擅长保管小纸片,我建议人们把密码写在纸上,然后把那张纸和其他有价值的纸放在一起——钱包里。”
创造一个安全密码简直是世界上最简单的事情:一串完全随机的字符就是了。靠自己的脑子是无法达成完美随机的,但你也不需要这样苛求自己:许多网站和应用可以拿环境噪声的数据给你提供完全随机的密码。这里是我在random.org上获得的一些密码例子:Vk54z6XG,Px7YZrm3,NfdeKYsY,FryVMwMk,BVfqbRQb。
在现实中密码会受到来自以下三个方面的威胁:日常、群体和定向。
“日常威胁”指的是你认识的人。爱管闲事的同事或者亲人可能想要登录你的账号。他们会通过自己对你的了解来猜测你的密码(而不是靠暴力破解软件)。“群体威胁”就像垃圾邮件一样,不针对个人。职业身份窃贼并不是在专门针对你的账号搞破解,他对你的个人情况一无所知,他的目的是汇集一套破解过的账号密码清单,通常是拿去再卖钱。“定向威胁”意味着使用软件的私家侦探或警探。
假如一个训练有素的人想黑进你的账号,假如金钱、时间(甚至法律)都站在他那边,那他很可能会成功。
个人识别码就是我们银行卡使用的那种密码。好像没有人费劲去发明一个安全的PIN码,反正世界上大部分自动柜员机也只接受4位阿拉伯数字。尼克•贝里估计世界上足足有11%的人使用1234。贝里列表上的第二常见PIN是1111(6%的人选择了它),第三位是0000(将近2%的人)。简单来看,这意味着如果有个老手骗子捡到了你的银行卡,他有19%的概率能在三次之内猜中你的PIN值。
总结:怎样不被别人猜中你的密码?做好准备,记住一个好用的强密码。绝对值得。去网站上(比如random.org这种)找真正随机生成的密码,列出五到十个备选密码。从中挑一个你能转换成好记短语的密码,靠那个短语来记忆。只在事关金钱的重要网站使用它。