它们分别是:
| 排名 | 密码 | 用户数量 | 排名 | 密码 | 用户 数量 | |
| 1 | 123456 | 290731 | 11 | Nicole | 17168 | |
| 2 | 12345 | 79078 | 12 | Daniel | 16409 | |
| 3 | 123456789 | 76790 | 13 | babygirl | 16409 | |
| 4 | Password | 61958 | 14 | monkey | 15294 | |
| 5 | iloveyou | 51622 | 15 | Jessica | 15162 | |
| 6 | princess | 35231 | 16 | Lovely | 14950 | |
| 7 | rockyou | 22588 | 17 | michael | 14898 | |
| 8 | 1234567 | 21726 | 18 | Ashley | 14329 | |
| 9 | 12345678 | 20553 | 19 | 654321 | 13984 | |
| 10 | abc123 | 17542 | 20 | Qwerty | 13856 |
无疑,这些组合都将成为黑客用于暴力破解时放在字典最前面的密码组合。之前我们一直以为,暴力破解密码是一件非常耗时的工作,但其实并不一定,下面的图是基于使用字典来破解用户名和密码的破解次数成功比例。
字典破解成功的试探次数累积比例
有9%的成功比例是密码猜解次数少于111次。假设黑客使用的是55KBPS上传速度的DSL猫上网,每次上传数据包是0.5KB,那么就意味着1秒内可以尝试110次密码。也就是说,有9%的用户密码只需要1秒多钟就可以被破解。虽然很多网站都采取有密码保护策略。如果不是基于用户名,而是基于IP或者其它的保护策略,黑客也很容易编写欺骗程序,用不到一分钟猜解5000多次密码。
为什么人们的密码如此容易被破解呢?我们来看看统计。人们倾向于使用刚好等于规定的最短长度的密码。比如一个网站要求最短密码是6个字符,那么会有30%左右的人使用只有6个字符长度的密码。
密码长度分布
人们喜欢使用简单易记的密码。分析表明,有60%的人选择简单的单词做为自己的密码。还有很多人喜欢使用与日期相关的数字做为密码。从下图我们可以看到,使用含有特殊字符及大小写字母与数字组合的密码所占的比例总计不超过5.5%。
密码类型组合分布
再加上前面所提到的最常用的密码,对于一名黑客来讲,暴力破解就并非难事了。
那么我们应该怎么样来设置一个合理有效不容易为人所破解的密码呢?
我们知道,基于MD5单次加密的密码,六位数以下的已经合部可以在网上反向查寻。如果人们通过cookies或者暴解数据库获得了只是基于MD5单次加密的密文,那么如果你的密码倍数过低,黑客很容易就获得密码明文。所以我们第一就是要做到使用超过八位(含八位)以上的密码。
第二,黑客习惯使用基于字典的暴力破解。字典的设置一般为常用的密码最为优先,和你可能相关的信息其次,而后就是单词数字等。所以不要使用含有自己相关信息的密码,比如说生日,房产证号,车号,大事年月日,电话号码,学号,工号,名字,名字缩写等等。不要使用最为简单的词汇或者数字组合。最好使用大小写组合,数字字母组合,含有特殊字符的密码。为了安全又为好用,你可以使用自己熟悉易记的密码加上一定的加工而成的组合。比如说可以使用键盘映射的办法,你可以记住自己的生日,你可以使用相应数字下面的字母来代替,对于每个年月日的第一个字母大写,末位用数字。这样就可以生成一个有效的高强度密码。当然还有很多方式。重要的是,你可以使用自己易记的密码,经过一次自己易记的加密方式进行加密,得到自己可以使用的密码。
第三,密码的更换。如果你的密码长时间不更换,那么你就无法知道是否有其它人也使用相同的密码在登录你的用户。如果有人意外地得知了你的密码,而你的密码又不做任何更换,是很危险的一件事情。而很多钓鱼网站会通过诱使你在不安全的网站上留下你的用户名和密码的方式获得你的帐号密码,从而通过你的用户给你的通讯册里的人发送病毒或者钓鱼网址来诱骗你的朋友。而人们平常最为相信的人发来的网址最具有欺骗性。所以,一定要定期更换密码,虽然这样会有些麻烦,但是十分重要。
资料来源:http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
转载请注明文章来自糗世界博客
