LinkedIn被盗账号的前30大常用密码
作者:趋势科技云端安全副总裁 DaveAsprey
来自渗透测试软件公司 Rapid7 所做的信息图表证明了,有些用户是如何忽略密码安全的。内行的安全专家都知道强密码的重要性,但如果不做密码强度检查,你就不会发现,用户的某些行为其实很有趣。
而且另外一个常见的问题是,对于现在的大环境,足够“安全”的密码已经难记到需要写下来,或是保存在单独的文件中。这方面一种比较好的做法是,用两三个以上无关的单字,加上间隔用的字母,混合组成一个长密码。这样的密码难以破解,但非常好记,更不需要写下来,并产生另外一个安全隐患。
当然还有更好的方法,可以用我们的DirectPass密码管理程序彻底解决这个问题!
646 万条被盗的 LinkedIn 密码已经被发布到俄罗斯的黑客论坛上
LinkedIn 密码解译
发生什么事了?
目前已经有 646 万条 LinkedIn 账户密码被盗,并且被公布到俄罗斯的论坛上。此外,还有16.5 万条密码的哈希值被成功破解。
学到什么教训?
糟糕的密码
我们发现,越来越多的网民开始使用过度简单的密码。实际上,很多人就直接使用现成的单词作为密码,而这种做法早已被证明非常不安全,很多常用的密码字典中已经收录了这些内容。
前 30 大被破解的密码
* 部分内容是经过修改的单词,不过还是可以猜出原本的内容。
设定密码的常见问题
脏话密码
使用脏话当密码坏处更多,这样的密码不仅强度不足,而且当密码外泄后也会让用户丢脸。你肯定不会想用骂老板的话当成自己的密码,这样的密码只能让你需要借助LinkedIn 找一份新的工作,而且骂人的话也早已被包含再常见的暴力破解字典最醒目的位置中。
别用网站属性的关联词
很多用户选择的密码与具体网站有关,这也不是好习惯。从LinkedIn 的案例来看,“link”、“work”、“job”、“connect”和“career”在我们分析过的密码中占据了前 20 名的显著位置。而且如果用七个字母的相关单字做密码,平均密码长度又是八个字母时,你的账户就更危险了。
宗教联想词
对于密码,最好做到与宗教无关。例如“god”、“angel”和“jesus”这些词也位居常见密码前 15 名。我们以前就已经发现,人们在于宗教有关的网站注册并设置密码时,很容易会落入这种模式,后果么,自然也就不用多说了。
安全的密码至少要包含四个单字,要随机但也要容易记忆。很多密码与传统短密码一样,例如会用“ilove”做密码开头。因此如果你的密码是“ilovejen”,那攻击者基本上只要破解三个字母就够了。
使用有顺序的数列也是一个大问题。很多人还像在幼儿园数数一样,会使用“1234”、“12345”、“123456”、“654321”,以及“1234567”作为密码,儿这些密码也位于常见密码前 30 名中。
爱不轻易说出口
当和家人或爱人在一起时,“I love [中间有空格]”是完全适当的字眼,但和爱有关的任何字词都应该绝对避免用在密码中,例如“ilove”和“iloveyou”。
@原文出处:New Infographic – Top 30 Most Popular Passwords Stolen from LinkedIn
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!