“123456”再获年度最差,密码我们到底该怎么设


编者按:本文来自微信公众号“三易生活”(ID:IT-3eLife),作者三易菌,36氪经授权发布。

密码对于现代社会的大部分人来说,无疑都有着非凡意义,毕竟大家或多或少都有独属自己的秘密,而密码就是保护这些秘密的钥匙。既然要肩负保存秘密的责任,密码显然是要越难被猜到越好,不过日前根据美国密码管理应用公司Splashdata一年一度的公布“年度最弱密码”榜单显示,即便在如今互联网已经改变了生活的大势之下,很多人似乎依旧没把密码的安全放在心上。

Splashdata从提高密码管理服务的SplashID、TeaMSID,以及Gpass收集的结果显示,“123456”、“123456789”、“qwerty”、“password”和“1234567”最为常见。而在我们的印象中,“123456”在这一榜单中一直都是稳坐第一,另外密码的英文单词,也就是password同样一直深受海外用户的钟爱,而事实上从Splashdata开始公布年度最弱密码开始,榜单上的变化就一直很小。那么为什么“123456”这类简单的纯数字组合,以及“password”这种直白的单词会备受青睐呢?

首先,密码这玩意首先需要让自己记住,虽然目前各大互联网厂商都设计了完善的“找回密码”功能,但是出于安全考量,这些找回密码的过程相对都不太简单。因此大家确实都会从身边容易记忆的要素出发,比如说生日、身份证、驾照号码等重要信息为基础来编制密码。

不过生日这些虽然容易记,但123456能够被很多人念念不忘,其实同样也有科学依据。创立了哈佛大学认知研究中心的美国心理学家George Miller在上个世纪发表的著名文章《神奇的数字:7±2——我们信息加工能力的局限》中 ,就提到了“7±2法则”,即一般人的短时记忆容量约为7个加减2个组块(短期记忆的信息单位),即5--9之间。

根据这一理论以及安全需求,为了便于大多数人记忆,银行开始将银行卡的密码从只有10000种组合的4位,提升到有151200种组合的6位。由于银行作为现代金融体系的核心拥有更为广泛的影响力,因此在6位密码深入人心的情况下,“123456”无疑是其中最便于记忆的了。

众所周知,黑客获取盗取大家的QQ号、网游账号,以及其他各类隐私信息的最常用方法,就是“拖库和撞库”。而实施这一攻击通常有两种方式——暴力破解与字典攻击。暴力破解顾名思义就是在大量计算资源的加持下,尝试每一个在给定长度下各种字符的组合,而字典攻击则是黑客根据网民习惯设置的密码,收集起来编写成为“常用密码库”。

显而易见,如果你的QQ或者微信密码是“123456”而不是“qfe23QSsyh!5s”这种毫无规律的密码,被盗号的可能性自然会成倍提升,毕竟柿子要捡软的捏。那么,要如何设计一个安全可靠的密码呢?

根据安全专家的研究数据显示,一个高强度好密码的原则通常包含这三个元素,密码长度最好8位或以上、没有明显的组成规律、尽量使用三种以上符号。故而一般来说,目前各大网站都会引导用户设计密码的时候,使用混合大小写的英文字母、字符和数字的模式。

不过大家上学时背古诗和课文的痛苦经历,以及上文提到的“7±2法则”已经告诉我们,各大网站的设计安全是安全了,但记起来着实麻烦。有没有适合我们这种懒癌的解决方案呢?必须有。首先伴随着移动互联网的发展,将账号与手机号关联,通过短信验证码来登陆变得很常见,虽然有“GSM劫持+短信嗅探技术”的犯罪手法,但是大家只要注意手机信号始终处于3G及以上的情况就是安全的。

其次,目前Android和iOS端都有诸如KeePass、LastPass、Password等,相当多的绿色开源密码管理软件,大家可以将记忆密码的烦恼甩给这些工具。如今在与黑客的斗智斗勇之中,这些密码管理工具基本上都采用了所谓的盐化+哈希+MAC加密方式,因此如果不出现管理问题,想要被攻破的难度也是非常之大。

所以为了安全着想,“123456”这样的密码大家最好还是不要再继续使用了。