很多人對自己構建的密碼充滿信心:密碼,只要不讓人知道就安全了。其實大錯特錯!360和瑞星曾經公布過中國版的“弱密碼”榜單,除了abc123、iloveyou、qwerty等全球網民通用的“弱密碼”外,還有666666、888888等吉利數密碼,“5201314”(我愛你一生一世)這類被寄予了濃厚感情色彩的中國特色“弱密碼”等,都已經收入黑客的密碼本中,他們無需竊取,直接就可以“秒破”。不相信嗎?可以用英特爾的在線密碼強度檢測工具試試(http://tinyurl.com/c6xm2rq)。
1.簡單的密碼
打開網頁後,在中間輸入框輸入你的密碼,然後單擊“GRADE MY PASSWORD”,看看123456要多長時間能破解?竟然只有0秒。添加字母增加強度,試試abc123,還是0秒。看來,這樣簡單的密碼真是不靠譜。
2.一般自定義密碼
再試試普通個人定義的密碼,6位以內的字母加數字,比如HPI123,這類密碼非常典型,不過也只用了不到2秒鐘就破解了。
3.自定義高強度密碼
再次增加強度,10位密碼,包括大小寫字母、數字、特殊字母等,這是現在不少網站對用戶密碼提出的一般要求。這裡我們試試Zte123456$,不可思議的是,破解同樣用不了2秒鐘(圖1)。
為密碼“把脈”
上面的試驗令人觸目驚心,那麼我們構建的這些密碼,到底問題何在呢?微軟提供的一個在線工具,可以幫我們進行分析診斷。
首先進入微軟密碼問題檢查網站(http://tinyurl.com/nd5bvr6),然後在下面的密碼框中逐個輸入自己的密碼。注意,除非為了學習,否則不要勾選右邊的第一個復選框,那個選項表示將口令發回公司的服務器進行分析。輸入密碼的同時,網頁上就會給出問題所在。看看Zte123456$這個密碼,竟然有5個問題之外,無怪乎不到2秒就被破解(圖2)。
一般來說,如果8位有3個以上問題,針對性進行修改,密碼強度至少提高3倍。讓我們字母不變,僅僅改變順序修改一下,改成Z236t15e$4(圖3)。現在再去英特爾網站上測試,可以看到密碼強度大幅提高,需要16個小時才能破解。
構建易記的高強度密碼
網上可以找到不少構建高強度密碼的軟件,不過這類軟件生成的密碼確實很強大,但是自己記憶起來也很困難,比如wG-ol_Hn=GhX這樣的密碼(圖4),怎麼記憶?另外,工具生成的密碼,還存在直接進入黑客密碼詞典的可能。還是讓我們自助構建易記、高強度密碼吧。
方法一:單位、賬戶、序號復合體
舉例來說,比如單位為“電腦愛好者”工商銀行第一張卡的網銀密碼可設置為:DNAHZ#ICBC#01。通過在線檢測,這一密碼的破解需要59109年,安全性大大提高,並且也容易記憶。注意,為了避免猜測,後面可以加入自己保密的數字信息。
方法二:個人、賬戶、私密信息復合體
比如筆名為“柳絮”的工商銀行卡的網銀密碼可設置為:LX#ICBC#gui1。看不明白?告訴大家一個秘密,gui是柳絮的名字,1嘛,新年更進一步。諸如此類。
小知識:
★KeePass在PC年代,是大名鼎鼎自由的免費開源軟件,其數據庫支持高級加密標准(AES,Rijndael算法)和Twofish的加密算法。開源讓大家明白保存過程沒有貓膩,AES這些加密算法已經廣泛應用於軍方通信讓大家安全放心,而免費則讓大家使用沒有經濟負擔,要知道手機密碼管理軟件通常都很貴(1Password促銷時都要30美元,每個大的版本升級還需要另外購買)。所以,筆者覺得KeePass是手機上首選的密碼管理軟件。
手機密碼保存 易用難忘
高強度密碼提高了安全,但也確實增加了記憶難度,尤其是需要記憶多個密碼時,很容易遺忘。其實隨著智能手機的普及,我們可以利用手機進行密碼管理。
1.KeePass
下載安裝KeePass後(注意要從官網下載,不要隨便從不明網站上下載)啟動它,首先要創建一個保存賬戶信息的數據庫(圖5),數據庫文件名可以使用默認名稱,接下來輸入數據庫密碼,注意,這個密碼是打開數據庫的口令,一定要牢記(圖6)。
創建數據庫後進入應用界面(圖7),此時可以單擊左下角“添加群組”創建新的群組,也可以在已有的群組中添加賬戶信息。單擊添加條目後,可以添加相應的賬戶信息(圖8)。
以後使用的時候,進入KeePass,選擇相應的數據庫文件輸入密碼即可進入(圖9)。此時,進入相應條目後,可以把密碼復制到剪切板或者選擇右上角的顯示密碼進行顯示就可以啦。
小提示
★當然,你也可以選擇創建一個密鑰文件來打開數據庫。密鑰文件可以放到其他地方,比如優盤中存儲,這樣萬一手機丟失,沒有密鑰打不開應用,相應地為其中保存的密碼多加了一道防護。
★注意:一定要做好賬戶信息數據庫文件(後綴為.kdb文件)的備份工作。由於該文件加密采用256位AES進行加密,備份到本地計算機即可,相當安全。不過,千萬不要把文件備份到KeePass的雲端,這多麼賬戶信息,絕對是黑客的重要攻擊目標。
