2014 年又是网络安全史上不平静的一年,从年初的携程的信用卡大规模泄露,再到各种拥有奇怪名字的开源软件漏洞,然后是索尼被黑客翻了个底朝天,年末的时候黑客们又为我们奉上了一道大菜——购票网的撞库事件。 网络安全事件如此频发,人们对密码的保护意识自然开始增强,媒体网站也纷纷发文告诫用户该如何设置安全的密码。密码中不要包含常用的词汇,不要以生日、邮箱、用户名、手机号等作为密码等设置密码的方式已经被许多普通网民熟知。 那么在设置自己密码的时候,中国网民的安全意识是否已经足够了呢?本文仅以 2014 年底的某购票网站因撞库事件泄漏的数据作为我们数据源,来分析一下目前中国网民的密码设置习惯。 先来看一下该次泄露数据的总体情况。在本次事件中,共有 131389 名用户的信息遭到泄露,其中主要以 80 和 90 后为主,80 后占比最高,为 65%,是 90 后的一倍多。从目前来看 80 后仍然是泄露事件的主力军。 设置密码之大忌 大忌之一:密码中包含常用词汇 从网络曝光的 13 万条泄露数据来看,仍有不少的人在设置自己密码时使用了 123456、1314、520、521 等常用词汇,其中密码中包含 520 的用户有 4500 人之多。突然发现,原来我们这么有爱啊。 大忌之二:用生日做密码 在本次泄露数据中,依然有 2326 人仅仅使用自己的生日 6 位数字作为密码!而那些在密码中包含生日数字的用户更是多不胜举。在这些犯了密码设置大忌的人中,尤以 80 后为主,占比达到 83.8%,远超过其他年龄段的群体。看来用生日当密码是 80 后一个普遍存在的坏习惯。 大忌之三:使用用户名、邮箱做密码 泄露数据又给了我们一次“惊喜”,竟然有 1700 多人使用自己的注册用户名作为自己的密码,而使用注册邮箱作为密码的用户更为严重,有 2396 人之多。有趣的是,在泄露的人群中,90 后的绝对占比(绝对占比即不同年龄段使用邮箱、用户名的占比与不同年龄段用户总数占比的比值)远大于其他年龄群体。看来 80,90 后在密码设置上的习惯都是不一样的,作为 80 后的小编想到一个新词 ——— “90 后非主流密码”。 大忌之四:用手机做密码 本次泄露事件中有 81 名用户使用了手机做密码。其中,60 后的绝对占比(绝对占比即不同年龄段使用手机的占比与不同年龄段用户总数占比的比值)最高,并且随着年龄的降低,这一使用习惯绝对占比逐渐降低。 难道是年龄越大要记得东西越多,要使用一个好记的作为密码才来的爽快。这么一想,也是情有可原,毕竟自己的手机号还是记得最准确的,不容易搞混。(赶紧问问爸妈是否也用手机做密码,不能再继续这样咯) 密码强度有待提高 看完密码设置的兵家大忌,来进一步看看该网站的用户密码设置的强度如何: 我们发现,该网站有一半以上的用户还在使用纯数字或纯英文这种单一的密码设置形式,使用组合密码的用户只占了 46%。在如此高敏感高风险的网站中,居然有这么多用户的密码设置这么简单。在这之中,尤其以 80 后使用组合密码的为最少,只占了 42%。而 90 后使用组合密码的超过了一半,为 53.38%。看来 90 后在密码安全意识上是要略强过 80 后的。 除了使用英文数字组合密码来提高密码强度外,使用大写字母、下划线、@等特殊字符也是增强密码强度的一个重要手段。那么在该泄露事件中,使用这样设置密码的情况如何呢? 从泄露的数据来看,只有 163 人在自己的密码中使用了大写字母、下划线、@等特殊字符,这着实不怎么样。不过在这不幸的数据之中,还是发现了令人稍微兴奋的东西。虽然使用特殊字符的用户不多,但 90 后的表现令人眼前一亮。即使 90 后的泄露数据只占了总泄露数据的 26%,仍然有超过了 32%的用户为 90 后。90 后又一次证明了自己的密码保护意识更强。 结语 虽然关于如何设置高强度密码的文章劈天盖地,但仍有很大一部分用户依然遵循着密码设置的“兵家大忌”原则。看来,国内网民的网络安全意识还是亟待改善。 如何设置高强度密码 关于如何设置高强度密码,我们团队也给您支支招: 1. 从内容上看,应该是自己能够记得,但是他人难以联想的信息。用表亲或者同事的个人信息会比用自己的安全。同时,可选择较为隐私的纪念日或者词汇进行组合。 2. 形式上,应该至少包括以下字符类别中的三组:大写字母、小写字母、数字、非数字符号(如&_等)。同时,可以进行一些简单的记忆变化,例如 i 变成!,字母 o 变成数字 0,11 变成 2ge1(两个一)。 3. 为了便于记忆,应该尽量是有意义的内容,但是插入其他字符或者谐音,例如“just for you”可以设置为“juST4_U”。同时可以在长度上进行拉伸。例如“shezhimima”可以变成“s_he_zhi_mimA”(相隔一定间隙插入符号,并且将特定位置的字母大写),又如“mypassword”可以变成“M。Y。P。A。S。S。W。O。R。D-1”。或者可使用数学运算符号来设置密码,如“5*5+5=30?Yes!”。 4. 此外可以对自己的密码进行安全级别区分,银行、邮箱的密码级别最高,社交网站等相对较低,论坛登录等则更低。不同级别的密码千万不要设置成一样。对于级别高的密码不仅仅要设置相对复杂,更要注意定时修改。 普通网民面临的互联网安全风险越来越严重,在目前大多数场景还是只能依靠小小的密码保护我们的情况下,这根唯一的稻草,还是需要我们用心对待。 最后打个小广告:更多密码保护请关注无贼微信公共账号:notheft,或者登陆我们的网站:http://www.wuzei.org [作者 /无贼网(企业账号),转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)] 查看原网页 扫描二维码下载知乎日报 支持 iOS 和 Android