首 页
 
  您所在的位置: 首页» 信息安全
你真的会设置密码吗
来源:区保密局网站 日期:2017-01-20

你真的会设置密码吗

李  建

 

近日,美国某密码管理应用程序提供商对在美泄露的超过200万个密码进行分析,找出其中最易被破解且仍有大量用户使用的25个密码,列出年度“最弱密码”榜单。

与上年度如出一辙的是,“123456”和“password”仍然名列前两位。事实上,该公司2011年开始统计“最弱密码”,这两组密码就是“老主顾”,且一直位列“前茅”。这在令人哑然失笑之余,也引起不少深思:在信息化、网络化时代,我们的密码和信息安全究竟怎样保障?

不少人认为“典守者不得辞其责”。诚然,当各国互联网大数据被搜索引擎尽数掌握,当网络空间成为继领海、领空、领土和太空之后的第五空间,当斯诺登推开“棱镜门”暗战的一角,维护网络信息安全早已成为国家安全的重要内容,无疑也是政府的重要责任。

不过仅仅指望政府是不够的。面对包罗万象的海量信息、错综复杂的交往痕迹,即使政府真的是传说中的“利维坦”,也不可能把每件事情都管起来。最弱密码持续领跑的背后,显然是诸多网民的麻痹大意、不思悔改。

年度“最弱密码”上榜者中,不乏“好客”型的:welcome(欢迎);也有“请求”型的:letmein(放我进去);还有“动物偏好”型的:dragon(龙)、monkey(猴子)。依照标准键盘排列所形成的密码也颇受欢迎,像“lqaz2wsx”(键盘左侧斜排)或“qwertyuiop”(键盘第一排字母)。排行榜还反映出流行文化和体育对网民的影响,比如,《星球大战7》的热映让“solo”“princess”“starwars”成为简单密码的“新宠”,而“football”“baseball”则是榜单“常客”。

不可否认,我们的生活已经被密码层层包围:打开手机屏锁,登录QQ、微博,连接无线网,转账交易等都需要输入密码。然而,你真的会设置密码吗?

关于设置密码的“雷区”,相信大多数人都耳熟能详。例如,单纯的数字或字典中的单词,生日、QQ、电话号码、邮箱,或者喜爱的球队、明星名称,在所有场合都使用同一密码、长期使用固定密码等。

弱密码指的就是这类短密码、常见密码、默认密码,以及能被穷举法通过排列组合破解的密码。强密码则是足够长,由大小写字母,数字,扩展符号、标点符号、键盘上没有的特殊字符等随机排列组成的密码,不易被穷举等算法破译。一言以蔽之,强密码必须同时具备两种特性——好记又难猜。

关于强密码的设置技巧,首先可以选取基础密码,然后根据不同的应用场合,通过设置简单的规则叠加其他元素。基础密码可以是某句短语或是某首诗词的首字母,键盘上比较靠近的按键组合,或者亲友名字的首字母以及特殊的纪念日等。如果还想增加难度,可以在键入时将手指在键盘上向某一方向偏移一些位置。比如,基础密码是“green”,输入时将手指向左上方偏移一个键位,就变成了“t433h”

至于叠加其他元素,可以是“基础密码+网站名称的首字母+某一单词+喜欢的数字排列。如果想要更加安全,还可以插入网站允许的符号。

不少网站要求密码是数字与字母的组合,例如今年排行榜上第24位的“password”,本来把password中的字母“o”换成数字“0”是个讨巧的方式,但用的人多了,反而成了安全隐患。

如果网站对密码有特殊要求,比如不能含有特殊字符,或对长度有限制,可能就需要对这些规则之外的密码另行记录。虽然不同网站对密码的要求有些不同,但有一个准则肯定是适用的——如果不想让黑客在24小时内就破解你的密码,它的长度应该超过14个字符(至少8个字符),且最好同时包含大小写字母、数字与特殊字符。

这样就够了吗?不!很多网站有设置安全问题取回密码这一功能。然而通常情况下,可选择的安全问题既少又很常规,例如父母的名字、毕业的学校以及配偶的生日等,答案局限性太大,不排除有人通过这一途径破解密码。比较安全的做法是安全问题与答案无关。比如问题是“你最喜欢的歌曲”,答案则可以是你向往的一座城市。

当下,电脑、手机病毒日新月异,黑客远比我们想象的更狡猾。中国互联网信息中心反复强调“关注网络安全要像教育孩子一样,让他知道出门锁门、过马路注意过往车辆”。其实,维护密码安全并不复杂,紧一紧思想的弦,睁一睁安全的眼,许多隐患就可以有效规避。

摘自《保密工作》2016年第6期


相关附件:
相关新闻:
· 智能儿童手表家长且用且警惕(2017-03-10)
· 警惕网盘成为新的泄密渠道(2016-12-09)
· 涉密会议、活动保密管理须知(2016-11-25)
· 由“黄宇间谍案”引发的思考(2016-11-07)
· 保密工作中的人防物防技防(2016-10-10)
7717 版权所有