密码使用指南
你是否使用弱密码?你的密码安全吗?一个密码走天下说的是不是你?跟着指南一同提升密码安全,获取你的密码使用指南!
这次,咱们先用个案例来引出正文。
本次指南通过一个在线密码字典生成工具来生成张三(Zhang San)的密码字典,目的是获取其 xxx 平台的密码(如有雷同,纯属虚构),在输入张三的相关信息后,我们获得了约17596+条密码,但这里只可能有一条是张三的真实密码,也很大概率都不是。
通过撞库工具来进行验证,尝试爆破张三的 xxx 平台服务。
……并没有工具……开始脑补……爆……爆…爆破失败……重新生成密码字典继续爆破……
上述描述的过程,看着比较傻瓜,但实际上这就是基础的撞库原理,影响成功的因素有很多 1、张三的信息越精准,密码字典的数据则越靠谱 2、黑客进行撞库的漏洞修复情况 3、黑客的技术情况……
看到这里的你,如果有疑问「怎么知道张三的这些信息?可以查看。」
你的密码越复杂,被字典准确生成的概率就越低,目前各大互联网公司对密码撞库都做了相关的安全策略,使用常规的登录方式去测试字典数据,连续错误几次,就会被平台限制。早年 QQ 有个有趣的限制,当你重复找回某号码密码,超过xxx次, 就会限制某个号码的登录。
而撞库只是仅仅获取密码的一种方式。 正确的密码安全该遵循下面的规则。
个人密码使用规则
- 使用不容易被其他人猜到,但户本人可以记忆的密码。
- 合格的密码组成:数字、大写字母、小写字母、特殊符号
- 最安全的记录形式是用实体的本子写上面(好记性不如烂笔头)
- 定期更改密码,每
90天、180天修改一次密码。 - 在登录提供默认密码或初始密码的服务、平台,必须要修改密码。
- 开启双重认证(2FA),给密码再加一道安全验证。
- 如在公共场合登录过xxx账号,结束时请主动退出登录。
- 使用专业的密码管理软件(服务)如:1password、Bitwarden、LastPass、Proton Pass
绝对不可以的行为
- 一个密码使用所有服务。
- 使用旧密码。
- 在社交软件上存储密码,如把密码记录在微信文件传输助手、钉钉、飞书等等。
- 使用个人姓名,配偶、子女的姓名作为主要的密码。
- 使用身份证、手机号、生日、车牌作为主要的密码。
- 使用相同字母或数字组成的密码,如:aaabbb123。
- 使用连贯的字母或数字,如 "abcdefgh" 或 "123456789"。
- 在电脑上创建名为
密码的文件夹以及密码的文档文件。 - 使用浏览器功能记录密码(Chrome、edge 等等)
在线密码生成工具:
https://1password.com/zh-cn/password-generator
https://suijimimashengcheng.bmcx.com/
https://www.roboform.com/cn/password-generator
https://www.avast.com/zh-cn/random-password-generator#mac
我的密码心得
密码我会使用大写、小写的组合,会采用音乐专辑的名字,英文或者拼音缩写,使用任意数字,最后额外添加特殊符号如."*_=@?来额外增加密码强度。你也可以使用名字、网名之类的信息,但不要完全用名字,倒过来、大小写、特殊符号分割等等都是假期密码的形式。
通过一些「密码字典」工具,这些组合都有可能被破解出来,但你的灵活运用 + 定期更换密码,可以大大的加强密码的安全性。
名词解释:
撞库:是一种采用自动机制的网络攻击,黑客使用爬虫程序,不断尝试使用购买自暗网的凭据,企图获得网站访问权限。由于人们经常会为多个帐户重复使用相同的密码,因此这类攻击的成功几率很高。在攻击者发现一组有效的凭据后,他们可能会使用这些凭据非法访问公司网络,或者将经过验证的凭据出售给其他犯罪分子,供其用于进行数据盗窃、帐户接管(ATO) 和其他欺诈活动。
密码字典:在网络安全领域,指的是一个包含大量常见密码、常用单词、短语、数字组合等内容的集合。它主要用于密码破解和安全评估,通过尝试字典中的密码来寻找目标系统的弱密码,从而进行渗透测试或者攻击。简单来说,就是用各种密码的组合去试,看哪个能打开目标系统。