随着科技的进步,电子设备用于识别用户身份的方式越来越多,比如指纹、人脸、虹膜、声音、证书……等等,技术越来越先进,使用也越来越方便,但不管哪种却始终无法彻底替代现在的静态密码验证方式,至于原因主要有以下几点:
一、用户习惯,静态密码是目前接受度最广的身份识别方式;
二、程序处理方便,只需要对用户输入的字符进行对比就行,方便快速,不像其它方式,需要经过一系列的复杂运算,进行校正、识别、提取特征,最终才能对比;
三、成本低廉,使用设备最基本的输入键盘就行,不再需要增加其它额外设备;
四、准确率,其它的识别方式准确率都不是百分百准确的;
五、稳定性,指纹识别在手上有水、声音识别在嘈杂环境下、人脸识别在光线不足环境下识别率就会下降,这也是为什么我们很多手机有指纹识别、人脸识别方式,但你设置后仍然要求你设置一个静态密码的原因。
前面说了这么多,其实中心思路就一个,在未来的很长时间内,我们最基本的验证方式还是静态密码。哈哈,先不要拿砖头砸我,实在想砸等看完本文后在评论里砸我吧,我接着就是。如果有关于本文的话题也可评论,与大家探讨一下。
在静态密码依然无法替代的情况下,使用一个安全性较好的密码,避免被一些简易密码攻击方式拿到账号就很显得非常重要了。
我们先从不安全的密码说起,瞭望者收集了最近2011年至2015年连续5年的最差密码排行,同时用不同的颜色进行了标示,大家可以看出不同的密码,在历年中的排名变化情况。如果你的密码在这个表中的,强烈建议大家修改。因为这些密码,可以说是目前所有的黑客字典中都有收录的,而且优先级别很高的密码,说是秒破一点也不夸张。
如果大家有兴趣,根据这个表单,你还能发现一些有意思的事情,比如前面的两位,一直是123456与password,特别是123456,最近3年连续获得最差密码第一;比如,football每年都在上升,是大家越来越喜欢足球了吗;还有,国内的最差密码,往往带有中国人广为人知的一些有特定含义的数字……
至于更多的东西就等大家自己发现吧。今天瞭望者跟大家聊一下黑客常用的密码破解方式。
第一种,利用服务器或程序漏洞,找出存储的密码数据,如果数据没有加密,那就惨了,估计立马就被各大社工库收录,供人查询,比如前两年的CSDN、7K7K、人人、178……等网站的脱库事件,基本就这种情况;如果有加密的好一点,黑客还得费劲去进行解密。
同样由于职业关系,瞭望者曾经收集了网上的一些公开密码数据库,把数据导入到本地的数据库中,写了一个小小的检索功能,结果真的挺恐怖的。比如我随意的测试下,输入了一个用户名为testone的账号,然后查到了以下信息。
是不是挺恐怖?这第一种情况,用户也做不了预防,因为是网站或程序的问题,所以不在本文讨论范围,只能建议大家到相对比较大型的网站注册,小网站千万不要使用自己的常用密码注册。前一阵facebook的CEO扎克伯格的密码泄露就是这种情况,在某个网站的密码泄露后,因为使用同样的账号密码,被黑客拿去其他网站使用了。
第二种,使用*力暴**破解,就是黑客使用工具,自动的输入不同密码,一直正确为止,比如黑客知道你密码是纯数字,那就让程序从1,2,3……开始一直不断的用不同的密码去尝试,一直尝试出正确密码为止,所以称为*力暴**破解。
当然了,实际情况这种纯*力暴**破解的事情很少,因为实在太没效率了,所以最常采用的方法是使用黑客字典,里面收录了一般人最常用的密码,如一些单词、拼音、有意义的数字等等, 特别是本文所发的密码表,那肯定是排在前面的。
对了,大家是不是也很喜欢使用电话号码、手机号码、生日、名字一类的作为自己的密码?再告诉大家一个不幸的消息,黑客字典有专门的工具,可以生成指定规律的密码字典。
比如生成1980年1月1日至1985年12月31的所有密码,还可加各种组合,比如前面是姓名等等,如果你在自己的个人资料中填写的生日、电话一类的就是你密码组合,那你赶紧祈祷吧,可能还来得及。
希望看到这里,没有吓到你,其实我只能说,网络比我现在说的还要更不安全,你没被盗,只能说没有什么人盯上你而己。
不能光说坏的,瞭望者把密码说得这么恐怖,总得给大家一点操作性强的建议是吧。
首先,不要到一些来路不明的网站注册,密码尽可能复杂,最好是字母、数字再加特殊符号这种,这样就把纯*力暴**破解给防住了(虽然理论上*力暴**破解最终会解开你密码,但是,如果需要耗时一百年,一千年,几万年甚至更少,那就可以忽略了,是吧?)
其次,不要在所有的网站上使用同一个密码,当然,你看到肯定已经在发愁了,密码复杂就已经够难记了,竟然还要每个网站都不一样,这不要人命吗?在这里瞭望者给大家一个小技巧,你把密码其中的几位,与网站进行“关联”就行了,比如域名,比如名字。
还不懂?来来,举个例子,假定我的密码是aa33dd99,那我在qq上我就使用密码为aa33dd99qq,我在*今条头日**上就使用密码aa33dd99tt,以此类推,使用了首字母,明白吗?除了首字母,还可以用域名,比如aa33dd99qq, aa33dd99toutiao.
不知道大家看明白了没呢?希望看完本文,能让大家的密码,更加安全。
好了,之前要拍砖的,现在来吧,我们评论见。