“简化密码根本没有抵抗力”

　　【IT168资讯】晓亮是新浪微博用户，最近他的微博常发一些“重口味”的图片，令其同事大惑不解，甚至招来冷嘲热讽。晓亮这才发现自己的微博账号和密码已被盗用，一种恶意程序正自动利用其账号发送图片甚至广告。经朋友劝谏，他放弃了原先的简单密码，并将网上银行账户等密码一并改为高强度密码。

　　本月下旬，多家网站的用户数据库被黑客“曝光”，成百上千万条个人数据信息外泄，并形成一串连锁反应，被称为年末“密码危机”。究其原因，除了网站端口保管密码库失当外，用户密码使用习惯不良也是主因。

　　逾23万人共用一套密码

　　这场“密码危机”的爆发地，是国内最大的程序员网站之一 ——CSDN社区。此后，“中关村在线”对其用户数据库泄漏的6428632个数据进行了比较分析，统计结果表明：在排名前十的常用密码中，有9个密码均是纯数字密码。其中，用户最惯用“123456789”，共用这套密码者超过23万人;“12345678”则是排在第二位的常用密码，用户数达21万以上;“11111111”排名第三，也有7.6万人共用。

　　“中关村在线”分析师对此结果颇为震惊，程序员用户的密码设置尚且如此，普通公众的密码密级之低不敢想象。此前，360安全中心披露 “中国网民最常用的25个‘弱密码’”，也验证了这一点。这些最易被盗取的密码中，超过7成都只有6位字符。其中包括简单数列，如数字1至6、1至8、6个“1”，还有 123123以及 6到 1的倒排;其它如password、abc123、iloveyou、qwerty (标准键盘1至6数字键下方的6个字母键)等。此外，国人还喜欢一串串“吉利数”，如连用6个“6”、“8”或“0”等。

　　“弱密码”黑客“随猜猜”

　　“黑客即使没有‘刷库’成功，数据库即使没有被‘一锅端’，这些完全相同的简化密码也根本没有抵抗力。”安全工程师告诫说，“弱密码”极易被黑客软件自动破解。

　　通常，黑客并不需要“亲自”在电脑前尝试输入某人密码，因为他们都有一种“密码破解字典软件”。这种“字典”列有最易被人使用的密码列表，其中就包括简单数列等大量“弱密码”。黑客只需选择一个账户页面，就能启用这类恶意软件对某账户进行“地毯式轰炸”——在极短时间内自动输入各种密码来攻击，如果此账户的密码强度较弱，黑客便能轻易得手。由于这种密码攻击的速度很快，黑客每天都可对大批账户 “随猜猜”。哪怕只存在千分之一甚至万分之一的成功率，黑客依然能获取个人信息，包括财务数据。

　　网友或许已注意到，目前不少网站开始在密码之外使用识别码、认证码，便是针对黑客软件的防范措施。识别码、认证码往往在随机图片中隐藏数字，需要真实的人完成人工输入，才能配合密码进入账户，以免黑客软件指挥机器自动输入。

　　个人密码应分级管理

　　比“弱密码”习惯更可怕的是，众多网友因怕忘记密码，在多个账户中使用同一套密码，这样更易被黑客逐一击破。360安全中心专家石晓虹博士表示，这几起“爆库”事件后，千万数量级的用户账号和密码在网上公开扩散，但部分网民其实不止在一家网站上使用被公开的密码，他的邮箱、微博、游戏、网上支付、网络购物等账号可能都设置了与之相同或相似的密码，故应尽快重置密码。

　　根据360安全中心近期发布的 《密码安全指南》，网友可从多方面保护账户安全。其一，尽量使用“字母+数字+特殊符号”形式的高强度密码，字母可区分大小写，特殊符号可使用电脑键盘数字键上的那些字符;其二，网银、证券交易、常用邮箱、聊天账户等涉及财产和隐私安全的账户，应单独设置密码;其三，按照账户重要程度对密码进行分级管理，密码越重要，强度也越要高，且重要账户应定期更换密码;其四，避免以生日、姓名拼音、手机号码等与身份相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息。石晓虹还提示，工作邮箱最好不用于注册网络账户，以免密码泄露后危及企事业单位的信息安全。

　　相关链接

　　国内网民常用的25个 “弱密码”：000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314