我们在看警匪大片的时候会有一个经典桥段,对暗号:天王盖地虎,宝塔镇河妖!而在当今互联网世界,这种身份验证的暗号变成了以用户名和口令(密码)鉴权,口令的重要性就可想而知了。  这时的口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。  我们经常检测出一些电信系统的弱口令,甚至一些政府网站以及计费系统中发现存在特别低级的弱口令。为什么会出现弱口令呢?针对不同人群我们做了简单分析  网站程序开发者:设置个简单点的密码让客户容易记,再把自己的网站弄成默认密码还有宣传作用。
网站程序使用者:看起来这个默认密码挺安全的,我就用这个密码了。 网站管理员A:密码复杂了太难记,记不住怎么办,还是简单点吧。 网站管理员B:这样的密码容易让别人知道,用什么好呢,又得是一个我能记住的,对了,就用我的QQ或者新浪等等密码吧。(此种情况往往会通过其他途径泄漏管理员的登录密码) 弱口令的危害极大,我们不能不重视。 弱口令TOP100: 123456789 a123456 123456 a123456789 1234567890 woaini1314 qq123456 abc123456 123456a 123456789a 147258369 zxcvbnm 987654321 12345678910 abc123 qq123456789 123456789. 7708801314520 woaini 5201314520 q123456 123456abc 1233211234567 123123123 123456. 0123456789 asd123456 aa123456 135792468 q123456789 abcd123456 12345678900 woaini520 woaini123 zxcvbnm123 1111111111111111 w123456 aini1314 abc123456789 111111 woaini521 qwertyuiop 1314520520 1234567891 qwe123456 asd123 000000 1472583690 1357924680 789456123 123456789abc z123456 1234567899 aaa123456 abcd1234 www123456 123456789q 123abc qwe123 w123456789 7894561230 123456qq zxc123456 123456789qq 1111111111 111111111 0000000000000000 1234567891234567 qazwsxedc qwerty 123456.. zxc123 asdfghjkl 0000000000 1234554321 123456q 123456aa 9876543210 110120119 qaz123456 qq5201314 123698745 5201314 000000000 as123456 123123 5841314520 z123456789 52013145201314 a123123 caonima a5201314 wang123456 abcd123 123456789.. woaini1314520 123456asd aa123456789 741852963 a12345678 弱口令能做什么? class="ztext-empty-paragraph">
class="ztext-empty-paragraph">
 class="ztext-empty-paragraph">
如何防范? 1.不使用空口令或系统缺省的口令,因为这些口令众所周之,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合。 4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。 5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。 6.口令不应该为用数字或符号代替某些字母的单词。 7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。 8.至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。 我该注意什么?  1.在笔记本或其它地方不要记录口令。 2.向他人透露口令,包括管理员和维护人员。 3.在e-mail或即时通讯工具中不透露口令。 4.离开电脑前,锁定电脑,设置密码。 5.在多个帐户之间使用不相同的口令。 6.在公共电脑不要选择程序中可保存口令的功能选项。 总结:弱口令的危害仍然存在,每天的安全事件中弱口令无处不在,通过弱口令进入后台,获取权限,财务转账,计费修改,实时监控,都是完全可以实现的。现如今中国独创的汉字密码在有些网站已经开始应用,汉字密码通常会比目前的密码规则安全,也期待更多的普及和应用。 根据使用场景 及重要程度 我们密码使用的场景大概分为以下几类: 财产类(重要) 这类直接关系到我们的金钱相关的账户,其中包括银行,支付宝,购物账户等。这些账户一旦被盗,将给我们直接造成经济损失。 通讯类(重要) 这类主要包括电子邮件,QQ、msn,这里主要包含我们经常联系的人。同时邮箱中还包含很多注册信息、以及其他密码信息。往来邮件等。 临时类(不重要) 一般是,我们在网络上搜索东西,需要注册才能够使用的,这种我们一般是临时内容。 工作类(重要) 一般是我们工作中需要用到的一些密码,包括服务器密码,ftp密码,网站后台密码,无线密码、路由密码,其他认证密码等。 常用类(中等) 这种一般的是我们常去的一些网站或论坛、社区等地方。这些不涉及财产,不涉及个人隐私等信息。 隐私类(重要) 对于在网络上,有些网站是需要提交个人信息、或者相关证件等信息的。还有上传照片的,网络硬盘等存在有我们私人的东西的地方。当然,对于这些也会根据我们在这些地方上传的内容有来定。 如何设置安全的密码 密码强度 将自己现有的网络账户进行分类整理,密码根据账户的重要程度去进行设置.可以分为三个等级-弱\中\强. 弱:一般表示非常容易记的。不用去背的。例如123456这样的密码。位数少的,例如4-6位(容易被爆破) (附录A中有top 100的弱密码) 中:一般为字母+数字,其中有的密码是由名字和生日进行组合而成的。或者某些单词+数字,这种与上一中要复杂一些,位数要多一些。但是被人掌握个人信息也有很大的可能去被破解。 强:大小写字母+数字+特殊符号。比较复杂,不容易记忆。 当然除了字符以外,密码的长度也是其中的一个标准。安全的建议是8位以上复杂密码和中等密码,这样在破解的过程中耗费的时间要长很多。 下面来说一下在什么情况下使用什么样的密码,当然没有一个固定的规则,根据自己的实际情况去设置即可。 对于自己财产类的,要设置一个比较复杂一些的密码,可以考虑使用字母大小写+数字的方法。同时不要用自己的名字、自己名字的缩写、常用昵称或这ID做为密码的一部分。例如银行网上银行密码、支付密码等。(考虑到有些银行可能不允许输入特殊字符,所有建议大小写字母+数字,) 还有一种通讯类的密码,比如重要的电子邮件, 重要的QQ,这种的可以设置比较复杂的密码,大小写字母+数字+特殊字符,长度建议在10位。 对于一些常去的网站,里面如果不涉及到隐私以及跟其他重要关联的,建议密码不用设置太过复杂。还有一些很少去的网站,或者是临时类的,那么我们的密码使用弱密码即可。因为被盗了也无妨。但是也建议使用top 100以外的密码。 对于涉及到隐私信息的,我的建议是尽量不要往网络上传,如果非要传的话,也涉及一个别人想不到的密码,并且,上传的地方的网站要可靠、可靠主要包含的是网站安全性高,以及网站的信誉。 对于工作中的用到的账户和密码,必须要复杂。同时关于工作的信息和文件,源代码,计划书、报表等文件,最好不要存储到网络硬盘上。同时要设置复杂的密码。 电脑开机密码:电脑密码也很重要的,一旦系统密码,硬盘中的文件以及浏览记录、cookie,照片、视频、聊天记录,重要文件等全部一览无余。这样的情况系统密码不使用弱口令就可以。同时设置bios密码,可以设置硬盘密码的也可以设置硬盘密码。如果设置不了硬盘密码,也可以虑使用微软自带的或者开源的加密程序对盘符进行加明。并设置加密密码。
|