你的密码够“强”吗

你有没有更换密码的习惯呢

你是否将工作与生活中各种场景的密码混用呢

        以上种种问题都有可能给您与企业资产带来不可估量的风险。据Verizon 发布的《2020年数据泄露调查报告》显示，

超过80%的数据泄露都是黑客利用被盗密码或弱密码导致的。密码安全对于企业，组织和个人用户来说都是非常重要

的。

一、为什么密码安全很重要？

1.完备的密码可以有效减少企业面临的网络威胁

据IDC的一份报告显示，在2019年的IT和非IT调查受访者中，有62%的人表示，人为错误是企业业务面临的主要网络威胁。这种人为错误主要是源于企业的普通员工创建简单密码和共享密码导致的，而不是那些高管或拥有特殊访问权限的员工。

例如：美国联邦调查局网络犯罪投诉中心(IC3)在2019年的报告中称，因密码破解导致商业电子邮件泄露和电子邮件账户泄露（BEC/EAC）犯罪造成了超过17亿美元的损失。

2.出于法律合规性考虑

基于法律合规性考虑，不仅需要用户通过强密码来保障个人信息安全，还要求企业在对员工制定安全规则及为客户提供服务时都需要考虑如何保障企业和个人的数据资产安全，严防数据泄漏事故发生。有多种法规和监管机构要求组织满足身份认证和数据保护的特定标准，也有其他组织制定标准并提供指导使公司和其他组织可以严格遵从这些标准。

例如：

《中华人民共和国密码法》、《中华人民共和国数据安全法》、美国国家标准技术研究院 (NIST)，支付卡行业数据安全标准(PCI DSS)，欧盟的通用数据保护条例（GDRP）等。

二、什么是弱密码？什么是强密码？

1.弱密码常见样式

2.暴力破解密码所需要的耗时

数字：0

大写或小写字母：30s

大小写字母混合：33m

数字+大小字母：1.5h

数字+大小字母+符号：22h

3.强密码是什么

强密码是相对于破解软件很轻松就可以破解的弱密码来说的，是不断发展变化的。因为随着信息技术发展，破解软件的能力越发强大，可能十年前需要破解几天的密码，现在仅仅几十毫秒便可瞬间获得。由于密码破解的时间取决于其复杂度，所以对密码的改进就经历了一番演变：

• 最初，对密码的长度和字符成分未做限制。

• 接下来，认为基本的八位字符就够用了，并且均是小写。

• 再不久，添加特殊符号，数字，大写字母以增加密码强度。

• 一部分人认为更长的密码要比看上去复杂的短密码要更加安全

现在，使用常见词，姓名，短语会明显地削弱密码的强度。破解软件已经可以通过字典、密码表等形式来进行暴力破解，这使得那些我们认为很安全的密码也时刻处于暴露之中。

三、密码泄露泛滥成灾

大量密码泄露事件的连续发生，使得数以亿计的潜在有效密码在网络空间上传播。无论是善意的研究者还是恶意的入侵者都在关注这些外泄的密码库，以研究最常见的密码及其构成模式。密码库暴露了很多常见的密码模式，用户往往认为这类模式能让密码又好记又足够复杂。

其实，只要有足够多的数据，再高明的用于编制密码的方法也会变得了无秘密可言：

• 基于某种固定模式的密码 (qwerty678^&*)

• 大写字母开头，数字和符号结尾的密码 (Password1!)

• 常见的字符替换 (P@ssw0rd)

• 和网站名称相关联的单词 (Username@2014)

一旦确定了用户的密码组成模式，入侵者就可以设计程序，利用诸如暴力破解这样的攻击手段来获取密码。反过来，这类程序又能用于扩充破解用的密码表。

四、我们该怎么办？

1.设置复杂合规且定时更改的强密码

不使用简单的弱密码，推荐使用的密码设置为8位或12位以上的大小写字母、数字和特殊符号的组合；

按照帐号重要程度对密码进行分级管理，建议重要系统/主机每30天更换一次密码；

要避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息；

2.不要重复使用密码

如果你注册过的多个网站被黑客侵入，那么他们就可以对你编制的多个密码进行比较，对于一个攻击者而言找出你的编码规律能有多难呢？有多少人是重复使用相同的密码呢？有相当多的用户是以某个常见的密码模型做为基础，再嵌入网站名称又或是别的标识从而令密码显得唯一。这种方法有两个问题：

它会给你带来一种虚假的安全感，让你相信你的密码是安全的。

很容易就猜出你所有应用的密码。

建议：

不要重复使用密码，保证一码一用。

对于难以改掉重复使用密码习惯的人来说，以组为单位高效地重用密码，根据不同的安全级别创建数个容易记忆的强密码，在用户面临不同安全级别的场景时，就可以重用与其对应的密码。举个例子，在邮件和金融服务时使用某一个强密码，在社交媒体上使用另一个强密码，而在流媒体音乐服务上使用最弱的密码。

3.合理利用密码工具

对所有账号都生成随机的唯一密码是极大提升个人与企业账户安全性的措施。

网上有很多密码生成器，它们提供了很多选项以增加密码长度并加强了复杂性。

此外，如果觉得密码太多记忆不下，可以使用密码管理器。你可以只记住密码管理器的密码，其他密码都交给管理器生成和保管。

参考资料:

密码那点事儿 - SecPulse.COM | 安全脉搏 ——yiyanghuadan

密码安全那些事儿 - FreeBuf网络安全行业门户——锐成信息Racent 

《你还在用弱口令吗？》——金蝶中国研发安全赋能部