近日，賬號(hào)置更密碼管理工具 NordPass 發(fā)布了 2024 年全球各個(gè)國(guó)家最常用的密碼密碼名單，結(jié)果顯示用戶仍在使用眾所周知的該設(shè)弱密碼。統(tǒng)計(jì)數(shù)據(jù)顯示，安全今年國(guó)內(nèi)最常見的賬號(hào)置更密碼是“123456”；第二個(gè)和第三個(gè)最常見的密碼同樣如此，分別為“admin″和“111111。密碼

下圖是該設(shè)中國(guó)區(qū)最常見的密碼設(shè)置

說實(shí)話，有點(diǎn)搞笑

目前絕大部分網(wǎng)站對(duì)于注冊(cè)賬號(hào)的安全密碼強(qiáng)度分為3個(gè)等級(jí)：弱密碼、中密碼、賬號(hào)置更強(qiáng)密碼。密碼大部分網(wǎng)站會(huì)引導(dǎo)用戶填寫密碼的該設(shè)時(shí)候混合大寫字母、字符和數(shù)字的安全強(qiáng)密碼。

在中文語(yǔ)境下，賬號(hào)置更大家印象中的密碼比較安全的密碼可能是：

• 化學(xué)方程式：CH4+2O2=CO2+2H2O
• 鍵盤順序法：1qaz@WSX
• 名字+生日：cxk20011010
• 網(wǎng)站地址+特定數(shù)字：xiaoheih123

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)協(xié)會(huì)（下文簡(jiǎn)稱NIST）曾經(jīng)撰寫了一份名為NIST Special Publication 800-63的文檔，建議大家設(shè)置密碼時(shí)混合大寫字母、該設(shè)字符和數(shù)字，并定期修改。目前大部分網(wǎng)站的賬號(hào)密碼，也是這樣要求的。

但是很快，NIST提供的最新數(shù)字身份指南的新版草案中，不再推薦用戶使用這一標(biāo)準(zhǔn)，因?yàn)檠芯匡@示此類標(biāo)準(zhǔn)，并沒有什么卵用，由于計(jì)算機(jī)算力的提升，結(jié)合密碼本破解，這種程度的密碼已經(jīng)無(wú)法防御住擁有超強(qiáng)算力的黑客組織了。

另外研究顯示，頻繁的更改密碼沒有預(yù)想的效果，達(dá)不到保護(hù)密碼安全的目的。因?yàn)榇蠖鄶?shù)人應(yīng)對(duì) 90 天更改密碼要求采取的做法是將現(xiàn)有密碼略微修改一下，比如 Pa55word!1 改為 Pa55word!2，完全起不到保護(hù)作用，很容易被猜出。

Authenticator

所以，如果你下載微軟開發(fā)的雙重驗(yàn)證工具Authenticator，他會(huì)給你生成很多非常復(fù)雜的登錄口令：

所謂的強(qiáng)密碼

真正重要的是它的多重驗(yàn)證功能(MFA)我們常說的手機(jī)令牌就是MFA之一，一個(gè)安全的賬號(hào)不能只依賴于復(fù)雜的密碼，而應(yīng)該有多重驗(yàn)證，比如手機(jī)驗(yàn)證碼（雖然偽基站可以做中間人攻擊，），手機(jī)令牌或者IP限定訪問。

多重驗(yàn)證流程

很多人可能會(huì)反駁我，steam有手機(jī)令牌，為什么還會(huì)被盜號(hào)，這個(gè)我之前的文章中講過，主要原因是Steam會(huì)在用戶電腦里存儲(chǔ)授權(quán)文件，該文件被木馬上傳到了盜號(hào)服務(wù)器，才是被盜號(hào)的根源所在。本質(zhì)還是steam身份認(rèn)證有設(shè)計(jì)缺陷。

所以NSIT給出的一個(gè)建議是企業(yè)或者網(wǎng)站應(yīng)該使用自適應(yīng)多重身份驗(yàn)證，即通過使用上下文用戶信息來動(dòng)態(tài)增加或減少用戶身份驗(yàn)證步驟，例如：失敗登錄的嘗試次數(shù)，用戶的地理位置，地理速度或連續(xù)登錄嘗試之間的物理距離，用于登錄的設(shè)備，源 IP 地址，同時(shí)對(duì)存儲(chǔ)的密碼鹽化哈希 MAC 處理。所以說責(zé)任在企業(yè)，面對(duì)有備而來的黑客，個(gè)人其實(shí)能做的并不多。

不管即使研究表明復(fù)雜密碼并面對(duì)盜號(hào)者表現(xiàn)并沒有那么好，但是仍要避免使用純數(shù)字/字母的短密碼，以及帶有明顯規(guī)律的構(gòu)造密碼（如網(wǎng)站名+123），來降低被強(qiáng)力攻擊的風(fēng)險(xiǎn)。

參考

1.知乎：強(qiáng)密碼和弱密碼并沒有什么區(qū)別？NIST密碼安全標(biāo)準(zhǔn)更新：不再建議密碼要求混合大寫字母、字符和數(shù)字

2.norfpass2024最受歡迎密碼

3.微軟：大部分密碼復(fù)雜性努力都是徒勞的