胡立

不斷上演的信息泄漏事件，已是一個老生常談的話題，可以預見在將來的一段時間內，這依舊會是讓人們頭疼的事情。

2020年，此類安全事件頻發(fā)，前有國內鄭州市某民辦高校近2萬名學生信息遭泄露，其中涉及身份證號等20多項信息；中國臺灣地區(qū)發(fā)生重大個人數(shù)據(jù)泄露事件，84 %公民信息出現(xiàn)在暗網(wǎng)；后有美國教育機構供應商Active Network為學校提供的會計軟件Blue Bear被黑客入侵，拿走支付卡數(shù)據(jù)；美國明尼蘇達州Alomere Health醫(yī)院被曝該院2名員工的電子郵件賬戶遭到黑客入侵，發(fā)生數(shù)據(jù)泄露事件。

從這些數(shù)據(jù)泄露事件中，可以發(fā)現(xiàn)：首先從受泄露影響的人數(shù)看，少則幾萬人，多則上千萬人，比如美國Alomere Health醫(yī)院的信息泄露影響近5萬人，而中國臺灣泄露84 %公民信息；其次，泄露數(shù)據(jù)內容詳細、維度多，例如鄭州高校數(shù)據(jù)泄露涉及20多種個人信息。同時數(shù)據(jù)泄露事件愈加頻繁，不僅個人、企業(yè)、組織機構和國家政府都不斷陷入數(shù)據(jù)泄露，而且橫跨金融、教育、醫(yī)療領域，涉及各行各業(yè)，影響深遠。

這些案例令人觸目驚心，然而最大的數(shù)據(jù)泄漏原因依舊是來自配置不當?shù)南到y(tǒng)，其中就包括身份驗證和密碼薄弱。弱密碼存在的巨大隱患，和每一個人息息相關。

什么是弱口令

如果你的密碼設置得很好猜，就可以說這個密碼的強度很弱，是一個弱口令。

弱口令具體長什么樣子呢？123456常年霸占弱密碼榜首。根據(jù)splashdata的統(tǒng)計，2019年的十大弱密碼仍是那幾個熟悉的面孔。和2018年的榜單比較，上榜的密碼大同小異，雖然sunshine跌出Top 10榜單，但仍位居第30名，新進榜的還有更弱的“123123”，“123456”依然穩(wěn)穩(wěn)拿下弱密碼冠軍的寶座。

這些高頻出現(xiàn)的口令，就是黑客最偏愛猜測的口令，也就是典型的弱口令，弱口令還包含空口令和通用口令和一些用戶名相關的口令（大家可以看看自己平時是不是也經常設置這些密碼）。

空口令和通用口令

空口令很好理解，就是完全不設置口令。最常見的是在開發(fā)測試環(huán)境搭建的數(shù)據(jù)庫，比如MySQL，memcache，redis，mongoDB等，為了方便完全不設置任何密碼，登錄時不需要停下來輸入密碼的感覺真是太愜意了，不過黑客也不需要輸入密碼就能偷取你的隱私，會更愜意呢。

另一種情況，管理人員可能已經意識到密碼強度太弱不好，于是設置了一個字母+數(shù)字+特殊字符的口令。比如complexPWD@1984++這樣的口令，看上去不那么容易猜出來，可惜整個團隊的人都在用，時間長了，團隊人員變動，或者某個成員個人電腦、服務器被黑，都會導致團隊的通用口令泄漏。因此，使用靜態(tài)的通用口令依然被視為弱口令。

和用戶名相關的口令

有些人會把密碼設置得跟用戶名有一定的關系，比如：用戶名是小明，密碼是小明的生日、手機號、紀念日或父母的生日；也有人用自己的車牌號碼、家庭住址門牌號碼，這些常見的“密碼套路”，極容易被破解。因為本質上還是和你的一些基本信息有關聯(lián)，別以為黑客就不知道了。黑客可能擁有某些網(wǎng)站的數(shù)據(jù)庫，可以直接查詢你的這些信息，就算不通過數(shù)據(jù)庫查詢，枚舉所有的生日、手機號（尤其針對某些地區(qū)的號碼段范圍）其實也花不了多少時間。

除了密碼設置外，還有一些人們容易疏忽密碼的場合。

在使用內網(wǎng)時

有些人具備一些基本的安全常識，不會在公開場合設置弱口令，但是在公司內部，尤其是測試環(huán)境，又很容易松懈，認為內網(wǎng)是可信的。

這就太天真了，誰能保證內網(wǎng)就不被黑客滲透呢？一旦黑客進入內網(wǎng)，我們的“可信的內網(wǎng)”就變成了“赤裸的內網(wǎng)”。

大公司內網(wǎng)滲透的案例，業(yè)界每年都會發(fā)生十多次或者更多，所以信任內網(wǎng)并不是一個正確的安全態(tài)度。

還有很多同事說，我的測試機器上沒有什么重要數(shù)據(jù)，所以弱口令就弱吧，沒什么風險的。

黑客通過弱口令拿到的不僅僅是你機器上的測試數(shù)據(jù)，而是等價于你服務器享有的一切受信權限。

如果你這臺服務器可以訪問其他的敏感數(shù)據(jù)，現(xiàn)在黑客也擁有了同等的權利。你這個數(shù)據(jù)庫可以讀寫服務器上的其他敏感文件（比如MySQL可以loadfile讀取機器上的/etc/passwd文件，或者into file寫入到任意可寫路徑，造成進一步入侵）。

尤其是疫情期間大多數(shù)企業(yè)都采用遠程辦公，企業(yè)安全的脆弱性問題無疑被放大了，如果說身份與訪問管理是數(shù)據(jù)安全的重災區(qū)，那么弱密碼則是震中。

倘若處理不慎，很可能因為自己是弱密碼被輕易破解而導致黑客橫向攻擊了單位內網(wǎng)，拿走核心敏感文件而帶來巨大的名譽和經濟損失。

在使用多個平臺時

《我國公眾網(wǎng)絡安全意識調查報告》顯示：定期更換密碼的被調查者僅占18.36 %，而遇到問題才更換密碼的被調查者有64.59 %，有17.05 %的被調查者從來不更換密碼。

調查顯示，大多數(shù)人為了記憶方便，公眾多賬號使用同一密碼的情況高達75.93 %，特別是青少年多賬號使用同一密碼的比例高達82.39 %。多賬戶使用同一密碼更容易遭到黑客攻擊，尤其是會面臨被撞庫的重大風險。所謂撞庫，即黑客攻破某一網(wǎng)站后，會用獲取的賬號密碼去測試其他平臺，那些多個平臺用一套賬號密碼的用戶就會中招，甚至可能清空你的銀行卡。

如果你或者身邊有人不慎泄露了個人信息，下面這幾招教你養(yǎng)成好的安全習慣。

設定多套密碼

安全專家建議，可以為自己設定多套密碼，東南大學網(wǎng)絡空間安全學院副教授宋宇波說：“重要系統(tǒng)（比如網(wǎng)銀等和隱私密切相關的）和非重要系統(tǒng)（一些論壇、查閱為主的網(wǎng)頁）的密碼要分開，工作、生活、和理財賬戶使用不一樣的密碼，這樣能減少風險?！?/p>

不要到處亂貼自己的密碼

工作中見過不少小伙伴，由于密碼難記，于是寫在便箋上，貼在座位或者顯示器附近。方便了自己，也方便了陌生人?！度肭值乃囆g》里，凱文.米特尼克就這樣獲取過某銀行的密碼，然后入侵了進去。

不要在公共場合大聲說出密碼

有時候在電梯里、公交車上，聽到敬業(yè)的同事處理工作事宜，會在電話里大聲透露自己的密碼。在電話那頭的同事獲得密碼的同時，如果附近有居心叵測的人，也同樣會獲得這個密碼。

不要明文存儲自己的密碼

筆者曾經遇到過一個真實的案例，有同事把存儲了密碼和很多工作相關信息的txt文件（包括寫在記事本里、郵件里），打包在網(wǎng)站根目錄下，命名為readme.txt，結果這個文件被外部人獲取了。

采取統(tǒng)一認證

所謂統(tǒng)一認證，就是將需要登錄的若干個系統(tǒng)，整合在一個地方。這個時候，你就不再需要記憶很多站點的密碼，集中記住一個就夠了。比如能夠用QQ或微信登錄的地方，就不用再去另注冊一個用戶名和密碼了。

重要系統(tǒng)不要只用密碼認證

比如大家在登錄網(wǎng)上銀行時，可能還需要結合短信驗證碼、動態(tài)口令令牌和手機APP掃描等多種手段。即使密碼真的泄漏了，如果重要的系統(tǒng)必須同時滿足2～3種驗證手段才允許登錄，這個系統(tǒng)的安全性自然會更高一點。

使用復雜的口令

復雜口令，首先密碼的長度要長，至少8位以上。比如你的密碼是6位純數(shù)字的782341，黑客寫個程序從000000逐個猜到999999，最多猜100萬次，就能把你的密碼猜出來。而你的密碼是8位，它就要猜1億次。

其次，密碼不要純粹使用數(shù)字或字母，而是要數(shù)字、字母、特殊字符夾雜著。如果你的密碼是8位，每一位可以使用26個大寫字母、26個小寫字母、10個數(shù)字和若干個特殊符號，那么黑客就要猜測至少N的8次方，N>72，這可是一個更大的數(shù)字，很多黑客沒有耐心這么猜下去的。

使用替代語

有小伙伴或許要問：“你說的都對，可是讓我想個復雜的密碼，我腦子一片空白，該怎么做才能滿足復雜的要求呢？”建議你嘗試使用諧音等替代語作為密碼。

如果你熱愛文學

這樣只有你懂的代替語，別人即使看到也是一頭霧水。

使用屏保/鎖屏密碼

一定要設置屏保密碼，假設你突然被叫走，你的電腦不知道會被誰使用，重要的文件可能會被拷走。手機上的鎖屏密碼也是一樣，所以設置屏保/鎖屏等手勢密碼很重要，可以采用一些復雜但形象的方式，比如：

后羿射日

諸葛連弩

這樣可以給你的設備雙重保障。

使用密碼生成器工具

如果你不愿自己思索密碼，可以搜索“密碼生成器”：隨機生成一定程度的復雜密碼。

近日，蘋果公司發(fā)布了一組有關密碼的免費資源和工具，像密碼生成器，提供了當今流行網(wǎng)站的密碼規(guī)則，以便在網(wǎng)站密碼規(guī)則范圍內盡可能生成高強度的密碼。這些工具資源統(tǒng)稱Password Manager Resources，目前已經在Github上開源，大家可以去嘗試。

使用密碼管理器工具

有時我們的密碼設置的挺復雜，可是一轉頭自己也忘了，這種時候，可以借助一些專業(yè)的密碼管理軟件，把各個地方的密碼管理起來，下一次想不起密碼時不用抓耳撓腮，只要復制粘貼就可以了。

密碼管理器能夠幫助你解決記憶的難題，還能保證較高的安全性，這方面的軟件有很多，例如：KeePass DX，Password Safe，KeePass，Easypass等。

當然，密碼管理器也有一個密碼，這個密碼叫做主密碼，你必須牢記主密碼，并且為了防止遺忘，最好把主密碼記錄在其他私密的地方。

定期更換密碼

即使你擁有了一個復雜的密碼，也不要長時間使用，因為有時候密碼可能泄漏了我們卻不知道。面對這種情況，定期更換是一個很好的策略，哪怕我們的帳號密碼一時間被黑，泄露出去了，修改了密碼之后，攻擊就失效了。

人在江湖飄，哪能不挨“盜”？或許沒有什么能保證絕對的安全，使用指紋解鎖、面部解鎖也不例外。但正因為如此，我們平時才要多注意密碼安全，多學習保護措施，并且及時去實踐操作，這樣才能在面對可能發(fā)生的意外時，更加從容淡定，更好地解決問題。