近些年,随着黑客攻击数据库的频频发生, 很多人的账户和密码被泄露了多次。例如,最近在国内影响较大的某集团酒店的全量数据库被拖库,涉及的账户、密码甚至敏感的个人信息,统统都发生了泄露。
当黑产犯罪分子,拿到这些账户数据后,优先要做的事情就是“撞库”。
撞库是什么呢?
撞库是利用你的账户,通常是邮箱或者手机号,频繁测试其它有价值的网站,看你是否也是其它网站的会员,游戏网站如steam,邮箱账户如QQ等。如果你给各个网站的账户,设置的密码都一样,那么你的其它网站的账户安全很容易被攻破。
当黑产不法分子识别出某些“高价值”账户时,很可能该账户还面临暴力破解的风险,即使你对不同的账户设置了不同的密码,但是如果密码太简单,或者命中了以下总结的密码规律时,你的账号仍然不保险。
我们通过分析互联网上已经被泄露了的3400万左右的账户的密码设置习惯发现,“懒惰是写在我们大脑硬回路里面的”。
为什么这么说呢?
原因在于大部分用户的密码设置模式都过于简单了。
首先,来看一下3400万用户设置密码时,排在Top50的是哪些常用的密码:
上图分左右四列显示Top50的密码以及同一密码的账户数统计。左侧两列是Top1-25,右侧两列是Top26-50的统计情况。
四类常规的密码设置方式
我们把常规的密码设置分成以下几类:
1、纯数字型——此种情形下,大部分注册系统都会提示密码较为简单,要求更换或者强制要求更改。此类型的密码包括的pattern又分成若干种,如:
(1)顺子类型 1234567890(参见下图),重复叠加豹子型111111;
(2)浪漫谐音型5201314(我爱你一生一世);
(3)QQ或者手机号码型(未在Top50中体现)。
2、纯字母型——即键盘模式。为什么单列键盘模式呢?因为和顺子数值一样,他们的规律太明显了,如qwertyuiop,asdfgh(参见下图)。
3、单词模式——可包含简单的数字或者替换数字。简单的单词、词组甚至是名字的拼音模式,如 woaini、loveme、password1、p@ssw0rd等。在混合模式下,还有一些常见的替换符号如s-$、o-0、a-@等构成密码。
4、字母数字混合模式——这是另一种键盘模式,1q2w3e4r,1qaz2wsx(参见下图)。
七条不安全的密码构建规则
通过上述常见的密码构造模式,苏宁金融研究院风控实验室总结了下述几条常见的不安全的密码构建规则:
(1)密码是纯数字,如123456或者生日日期或者手机号,甚至是重复的多位数值如888888等。
(2)密码是简单的键盘图形结构,如波浪形的1q2w3e, 或者平行线的结构如1qaz2wsx,或者简单的拐角如 123edc等。
(3)密码是常用词语的拼音或者英文,如woaini、Password,容易命中常见的密码字典。
(4)密码是姓名拼音或者姓名缩写加日期,容易被猜中。
(5)密码是邮箱地址、电话号码等,容易被社会工程学模式猜中。
(6)密码是简单字符的变种,如Pa$$word、D0g等,容易命中常见的密码字典。
此外,密码是否安全,不仅仅是您个人的账户密码设置得好不好的问题,还涉及您账户所在平台的安全性问题,因此即使您的密码设置再安全,也不能百分百保证您的账户就高枕无忧了。我们在网络泄露的账户数据库中,发现了很多超长的密码,如128位、256位的(参见下图):
这种密码可能属于机器指令登录账号,本身是比较安全的,但是当登录的平台出现漏洞时,再长的密码也无法保护你的账户。依此追加一个不安全规则:
(7)同一人不同的账号,采取相同的密码。
防范账户密码被破解的四个窍门
亲爱的读者朋友,如果您的账户密码不幸命中了以上7条规则,想必会惴惴不安吧。在这里,我们总结了4条建议供您参考:
(1)账户分级:按照账户的重要性进行不同密码的设置,比较重要的账户最好独立设置密码。
(2)定期更新密码:按照时间段进行密码的更新,如三个月、半年为期限,特别是当存在大规模密码泄露事件时,需要马上更改密码。
(3)避免设置简单的密码,如上述的的7条不安全规则。
(4)善用密码管理工具,如1Password、enpass、keepass等。
来源:苏宁财富资讯;作者:苏宁金融研究院风控实验室首席研究员 郑清正
