密码"123456"在2023年仍然是全世界使用最多的密码,其次是"admin"、"123456789"。每年都有大量数据泄露事件发生,但大多数人的密码习惯仍然令人担忧。
你的密码为什么会被破解
黑客获取密码的方式主要有几种:
暴力破解:用程序尝试所有可能的组合。对于8位纯数字密码,只有1亿种可能,计算机一秒钟就能试完。
字典攻击:黑客有包含数十亿常见密码的字典,按照概率从高到低逐个尝试。"password"、"iloveyou"、"qwerty"都是常见字典项。
彩虹表:预计算的哈希表。由于数据库存储的是密码哈希而非明文,彩虹表通过查表快速反推常见密码的哈希值。
撞库:你在多个网站使用相同密码,一个网站泄露,攻击者就用这个密码去尝试其他网站。
创建强密码的原则
长度第一:每增加一个字符,破解难度指数级上升。12位以上的密码比8位强几十亿倍。
多样性:混合大小写、数字、特殊符号。但如果只是把"password"变成"Passw0rd!",仍然很弱。
随机性:键盘顺序、常见单词都不是好选择。真正的随机才能抵抗字典攻击。
Diceware:人类能记住的随机密码
Diceware方法:用真实的骰子,每次掷5次得到一个数字,查表得到一个单词。把6-8个这样的单词连起来,就成了既随机又容易记忆的密码。
比如"correct horse battery staple"(正确 马 电池 订书钉),这个密码有大约44 bit的熵,暴力破解需要上千年,而且对一个普通人来说比"Kj#9mPq!"更容易记住和输入。
密码管理器:不是偷懒,是最优策略
很多人对密码管理器有误解,觉得把所有密码存在一个地方太危险。但实际上:
密码管理器只用一个主密码解锁,攻击者需要同时拿到你的设备(或云同步账户)和主密码才能访问所有密码。
而你在不同网站用不同密码,泄露一个不会影响其他账户。
推荐的密码管理器:Bitwarden(开源免费)、1Password(体验好)、KeepassXC(离线)。
双因素认证(2FA):最后的防线
即使密码泄露,没有第二因素,攻击者仍然无法登录。2FA的几种形式:
短信验证码:最常见但最不安全,SIM卡劫持攻击可以拦截验证码。
认证器APP(OTP):基于时间的一次性密码,比短信安全得多。推荐使用Authy或Google Authenticator。
硬件安全密钥(如YubiKey):物理设备,安全性最高,是高风险账户(如加密货币交易所)的最佳选择。
实操建议
1. 找一个信任的密码管理器,注册并设置一个强主密码(16位以上)
2. 为所有重要账户开启2FA,使用认证器APP而非短信
3. 立即检查 haveibeenpwned.com,看你的邮箱是否出现在泄露数据库中
4. 不要在任何人面前明文输入密码,即使是"帮你看看"的朋友
5. 定期更换重要账户密码,但不要为了换而换