什么样的密码才是安全的?相信这样的老生常谈你已经听腻了:密码设置得长一些,混合数字字母符号,避免任何可能容易联系到你本身的密码。但现实是在街头调查中大多数人并没采取积极正确的方法来帮助他们避开诈骗等危险,或者还是不知道怎么做。
那么什么样的密码才是最安全的密码呢?
密码不能有意义
上世纪末网络刚刚兴起的时候,许多人觉得“密码”这个事特别多余。上网聊个天,发个邮件都得需要密码,我用手机发短信多方便。可是没办法,不设密码你都登录不上来。怎么办呢?那就填写生日和电话号码吧。
OK!密码牢牢记住,不出意外,这组数字是不可能忘掉滴。那么你有没有想过,破解这串数字需要多久呢?以当时最笨重的办法,以小时记应该富富有余了,这还是算上用当时龟速的网络下载破解工具的时间。
在第一批网民里,很多人的密码就是被这么破解的。
组成密码的各部分不能有意义
大型网络密码泄露事件不时发生,怎么办?群众的积极性和认知水平提高速度太慢,而大家又不能终止或者说暂时减少网络活动,那网络服务商只好从后台技术入手强制用户提高密码长度下限,并且不允许使用纯数字或纯字母作为密码(大家还记得早晨起来被迫改QQ密码的心情吗)。
嘿嘿,政策是出来了,那用户又是怎么应对的呢?我们就把刚才那位生于1990年1月1日的朋友命名为“小强”。原先他的密码都是纯数字,不符合新规要求。那么他现在的目标是必须得在生日的基础上被迫加进英文字母。
什么字母最好记?用脚都能想到用自己的名字嘛!于是新密码有了,不怕麻烦就用xiaoqiang+生日,要是图省事就用XQ+生日,或者把名字放到生日后等等,可以有很多种组合。
这里就出现一个问题,为什么我们的第一反应总是倾向于把几个有意义的部分组合从而形成新的密码?这是由人类脑部的特定结构决定的。有意义的东西,不管多长,都可以算作一个区块,同样长度的密码,记忆区块越少就越好记。而我们从小接受的教育就是如何挺高记忆力、增强大脑的使用效率,这与我们设置密码时的逻辑是一致的。
虽然密码长度增长、组成元素种类增加,看起来破解难度上升了。可黑客们破解密码时只要逻辑与我们刚刚讲到的记解逻辑相反,就很容易能够破译。在他们的破解逻辑中,并不指望去破译所有人的密码,对每一个用户的攻击都会在若干尝试时间后停止。对于他们来说,你支付宝或网银里的金额不重要,关键是效率,在单位时间内能破译的更多就算成功。
一个密码不能不做改变地使用很久
随着网络信息越来越真实化、网上资金的流转数额越来越大,密码被破译后带来的后果越来越严重。于是网络服务商又推出了更加严格的密码规则:现在你设定密码时,有一个聪明的“守门人”会决定你设置的密码强度(复杂程度)够不够,如果不符合安全规则,你的密码就设置不成功。
于是我们被逼着对密码进行各种各样的调整,比如加入了下划线、各种奇怪的符号、颠倒的字母和数字顺序……最后,这个“守门人”终于龙颜大悦——密码强度足够,放行!
这时你马上要做的就是赶紧找张纸把新密码记下来,因为转身就会忘了这么复杂一个玩意儿。转了这么大一个圈,你现在明白我在文章开头说的那条唯一的心法了吧——我终于拥有了一条自己都记不住的密码!以后我就靠它行走江湖啦,绝对安全!
可是你大错特错了。
道高一尺,魔高一丈。人家黑客现在攻击的武器又改善了,用大数据搞你,具体点儿说,叫“撞库”。
从前破解密码,是一个一个网站来,现在不是了,是一堆一堆的做。破解了一个网站,立刻去另一个网站做用户名的比对,见到一样的或者类似的,就用已获取的密码碰运气。在这个买菜的大爷大妈都会发红包的时代里,每个人都有很多个账户,不充分利用一下您那虽然复杂却“一码多用”的密码多可惜呀。
所以,当你郑重其事地找到一个隐秘的地方,把那条“永远不会被记住”的密码端正地保存好的时候,放弃那些绝对安全的幻想吧,狠狠告诉自己:“这仅仅是个开始!我还要N次来到这里换掉密码!”这不是臆想,专家建议,30天更换一次密码,在目前阶段可以使其被盗的几率降低至接近0%。
好啦,现在你明白什么是最安全的密码了吧?不是技术、而是人性!这是一个不断循环往复的过程,而你,为了自己的信息安全,做好打持久战的准备了吗?
——END——
本文来自企鹅号 - 移安全媒体
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文来自企鹅号 - 移安全媒体
如有侵权,请联系 cloudcommunity@tencent.com 删除。