密码是网络世界中识别你身份的钥匙,目前还存在大量弱口令或密码被盗导致的攻击事件。历史上大量网站被黑客攻击导致账号密码数据库泄漏,您的账号密码一定出现在某次泄漏中。
最常见的密码
泄漏的账号密码数据中,最常见的密码是什么?
- 连续数字/字母,比如123456、abcdefg
- 重复数字/字母,比如111111、666666、88888888、aaaaaa
- 简单单词,比如password、iloveyou、letmein、mima、secret
- 和账户名相同,比如admin、root、demo、administrator
- 键盘顺序字母,比如qwert、qaxwsx、zxcvbnm
- 生日,比如951023、1995123
- 简单组合或改变大小写,比如admin123、A123456、Password、abc123
密码安全最佳实践
- 使用复杂的密码,不同网站使用不同密码。长度不少于8位,最好包含数字、大小写字母和特殊字符。禁止使用弱口令,比如1234、qwert等。不要使用看似复杂的密码,比如!@#$%^&*()、!QAZ@WSX等。不要使用常见的单词。这样会导致一个网站数据泄漏,所有网站都沦陷。如果记不住可以使用一个基本密码+网站名称。
- 建议使用工具生成密码,登陆时使用工具自动填充密码。
- 考虑使用密码管理器。比如Apple Passwords,Google Password Manager等。避免使用小企业开发的密码管理器,比如LastPass,他们安全资源投入不足无法持续保障安全。
- 选择只有自己知道的安全问题。避免使用公开信息就能查到的问题,比如出生地址、父母姓名、车辆颜色等。设想如果你身边亲近的人,是否能解开你的安全问题。
- 检查账号关联的三方账号。登陆不仅仅可以通过密码,也可以通过社交账号授权登陆,因此当账号被盗取后,很有可能会被关联攻击者的社交账号,从而顺利登陆你的账户。
- 不要告诉任何人你的密码。所有人都不要给,无论是技术支持、警察、朋友、家人,或者收到某个邮件需要你提供。
- 定期更改密码。但不要和之前使用过的密码重复。
- 开启二次验证。使用OTP、短信等方式进行二次验证,确保账号密码泄漏后,攻击者也无法登陆你的账户。
- 当你发现某个账号有异常时,第一时间更改密码。
- 查看密码是否有泄漏,更改泄漏的账户密码,泄漏过的密码不再使用,订阅泄漏提醒。
- 通过HIBP、Google Password Manager、Apple Passwords可以查看密码是否泄漏过。