• 网站首页
  •   >   新闻动态
  •   >   正文
    • 新闻动态

    弱口令的危害与整改建议

    发布日期:2024-03-21    浏览次数:


    在当今互联网时代,密码作为我们个人账号的第一道防线,对于保护个人隐私和重要信息至关重要。然而,仍有许多人使用弱密码,这给我们的个人信息和数据安全带来了严重的风险。希望本资料能够提高大家对密码安全的认识,帮助大家建立起使用强密码的意识和习惯,从而更有效地防范弱口令的风险。

    一、弱口令是什么?

    弱口令,即弱密码(Weak passwords),是指容易破译的密码,多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名、终端设备出厂配置的通用密码等都属于弱密码范畴。我们的日常生活中已经离不开多种多样的密码使用,例如手机密码、银行密码、QQ密码、微信密码、邮箱密码等等,弱密码很容易被他人猜到或破解,所以如果你使用弱密码,就像把家门钥匙放在家门口的垫子下面,这种行为是非常危险的。

    二、弱口令有什么危害?

    弱口令的危害性比想象中要大得多,对于实体银行卡被盗,弱口令被猜出,户主损失大量的钱财;对于个人电脑或工业主机,弱口令意味着容易成为黑客的肉鸡,成为他们进行不法行为的跳板或僵尸网络的一部分,甚至电脑资料泄露,感染病毒,造成严重损失;信息系统、网站和虚拟机的管理员采用弱密码、默认密码和通用密码,或者长期不进行修改,容易被黑客使用暴力破解软件直接破解本地密码,导致服务器被黑客控制,成为他们进行不法行为的跳板或僵尸网络的一部分,或服务器内部资料泄露,造成群体性危害事件等。

    三、弱密码的性质

    (一)从防御角度看

    传统意义的弱密码是指:密码设置口令单一或密码长度较短,容易被破译的密码。这一类密码通常具有以下几项特征:

    1.简单的数字组合

    2.号加数字的组合

    3.键盘上的临近键

    4.出厂配置的通用密码

    常见的弱口令有:

    1.简单数字组合:0000001111111111111111223312312312345612345678654321666666888888

    2.顺序字符组合:abcdefabcabcabc123a1b2c3aaa111

    3.临近字符组合:123qweQwertyqweasd

    4.特殊含义组合:adminpasswordp@sswordpasswdIloveyou5201314

    (二)从入侵角度看

    黑客利用弱密码进行破解时,通常手段是使用密码库。那么密码库是如何构建的呢?

    黑客密码库=(简单密码+历史密码+社工密码),如:

    1.简单密码:即我们上文提到的常用弱密码如123456abc123root等;

    2.历史密码:之前已经被泄露的个人密码、网上流传的密码字典库;

    3.社工密码:个人相关信息如:名字拼音、手机号、出生日期、邮箱号、QQ号等。

    因此,为了防止密码被非法破解,我们应该尽量避免使用黑客密码库的中的密码。如果系统帐号或其他网络帐号采用上述弱密码,很会容易被黑客利用密码字典自动蒙中,从而造成个人隐私信息泄漏甚至财产损失。

    四、密码复杂度要求

    (一)密码设置注意事项

    1.不使用空密码或系统默认的密码,因为这些密码众所周知,为典型的弱密码;

    2.密码由8-15个字符组成,区分大小写;

    3.密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个;

    4.密码不包含4个重复的数字或字母;

    5.密码不包含4个连续的数字;

    6.不可以使用之前5次旧密码;

    7.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词;

    8.不要长期使用固定密码,应定期或者不定期修改密码;

    9.不要在多个场合使用同一个密码,应为不同应用场合设置不同密码,特别是有关财务的网银及网购账户,避免一个账户密码被盗,其他账户密码也被轻易破解;

    10.不把密码保存在电脑、U盘、笔记本、书籍等上面。

    (二)避免使用的弱密码组合:

    1.规律字符组合:abcdefabcabcABCdefVipshop123等;

    2.禁用邻近键盘字符组合:qwertyuiZAQ!xsw23EDC4rfv6yhn7UJM等;

    3.禁用公司关联字符组合;

    4.禁用账户姓、名字符组合:liwei@2017liu1!@#等;

    5.禁用特殊含义字符组合:passwordpassw0rdp@ssw0rdadmin1234等。

    五、密码设置与管理建议

    (一)根据账号重要程度设置密码

    根据账号重要程度和网站知名程度,应该分别设置通用密码和重要密码。

    (二)设置通用密码但不相同

    为防止通用密码被撞库攻击,又避免过多的密码容易遗忘,建议在设置密码时采用通用密码”+“自设标志的习惯方式进行。

    (三)密码设置建议

    如何设置密码才比较安全和便于记忆呢,推荐大家可以用自己喜欢的单词、数字、特殊字符等,创建自己独有的一种编码缩写形式,采用混合组合方式创建。

    (四)养成手动进入网站的习惯

    在收到短信、邮箱等信息提示,要求登录某网上银行等重要系统账号,并附带登录链接地址时,应该避免直接点击信息中的链接进行登录,建议通过自行输入官方网站链接地址进行登录。


    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106